Documentation sur Oracle Cloud Infrastructure

Listes de sécurité

Le service Réseau offre deux fonctions de pare-feu virtuel pour contrôler le trafic au niveau du paquet :

  • Listes de sécurité : Décrites dans cette rubrique. Il s'agit du type de pare-feu virtuel d'origine proposé par le service de réseau.
  • Groupes de sécurité de réseau : Autre type de pare-feu virtuel qu'Oracle recommande de préférence aux listes de sécurité. Voir Groupes de sécurité de réseau.

Ces deux fonctions utilisent des règles de sécurité. Pour des informations importantes sur le fonctionnement des règles de sécurité et une comparaison générale des listes de sécurité et des groupes de sécurité de réseau, voir Règles de sécurité.

Points saillants

Aperçu des listes de sécurité

Une liste de sécurité sert de pare-feu virtuel à une instance. Ses règles de trafic entrant et sortant spécifient les types de trafic autorisés. Chaque liste de sécurité est appliquée au niveau de la carte vNIC. En revanche, leur configuration s'effectue au niveau du sous-réseau. Toutes les cartes vNIC d'un sous-réseau donné sont donc soumises au même jeu de listes de sécurité. Les listes de sécurité s'appliquent à une carte vNIC donnée, qu'elle communique avec une autre instance du VCN ou avec un hôte externe au VCN.

Plusieurs listes de sécurité peuvent être associées à chaque sous-réseau et chaque liste peut comporter plusieurs règles (pour connaître leur nombre maximal, voir Comparaison des listes de sécurité et des groupes de sécurité de réseau). Un paquet est autorisé si une règle d'une des listes permet le trafic (ou si le trafic fait partie d'une connexion existante faisant l'objet d'un suivi). Une restriction s'applique si les listes comprennent des règles avec état et sans état qui couvrent le même trafic. Pour plus d'informations, voir Règles avec état et règles sans état.

Les listes de sécurité sont des entités régionales. Pour connaître les limites associées aux listes de sécurité, voir Comparaison des listes de sécurité et des groupes de sécurité de réseau.

Les listes de sécurité peuvent contrôler le trafic IPv4 et IPv6. L'adressage IPv6 et les règles de liste de sécurité connexes sont pris en charge dans toutes les régions commerciales et gouvernementales. Pour plus d'informations, voir Adresses IPv6.

Pour plus d'informations sur les limites, voir Limites de liste de sécurité et Demande d'une augmentation de limite de service.

Liste de sécurité par défaut

Contrairement à d'autres listes de sécurité, la liste par défaut est fournie avec un jeu initial de règles avec état. Dans la plupart des cas, elle doit être modifiée pour permettre uniquement le trafic entrant à partir de sous-réseaux autorisés pertinents pour la région qui héberge le VCN ou le sous-réseau. Vous pouvez trouver une liste des intervalles de sous-réseaux autorisés pertinents pour chaque région à l'adresse https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Trafic entrant avec état : Autorise le trafic TCP sur le port de destination 22 (SSH) depuis les adresses IP sources autorisées et tout port source. Cette règle permet de créer facilement un réseau en nuage et un sous-réseau public, de lancer une instance Linux et d'utiliser SSH immédiatement pour vous connecter à cette instance sans écrire de règle de liste de sécurité vous-même.

    Important

    La liste de sécurité par défaut n'inclut aucune règle autorisant l'accès au protocole RDP. Si vous utilisez des images Windows, assurez-vous d'ajouter une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir des adresses IP sources autorisées et de tout port source.

    Voir Pour activer l'accès RDP pour plus d'informations.

  • Trafic entrant avec état : Autorise le trafic ICMP de type 3 code 4 à partir des adresses IP sources autorisées. Cette règle permet à vos instances de recevoir les messages de fragmentation de détection de MTU de chemin.
  • Trafic entrant avec état : Autorise le trafic ICMP de type 3 (tous les codes) à partir du bloc CIDR de votre VCN. Cette règle facilite la réception par vos instances des messages d'erreur de connectivité provenant d'autres instances du VCN.
  • Trafic sortant avec état : Autorise tout le trafic. Les instances peuvent ainsi lancer un trafic de tout type vers n'importe quelle destination. Notez que cela signifie que les instances ayant des adresses IP publiques peuvent communiquer avec n'importe quelle adresse IP Internet si le VCN possède une passerelle Internet configurée. Étant donné que les règles de sécurité avec état utilisent le suivi de connexion, le trafic de réponse est autorisé automatiquement, peu importe les règles de trafic entrant. Pour plus d'informations, voir Règles avec état et règles sans état.

La liste de sécurité par défaut ne comporte aucune règle sans état. Toutefois, vous pouvez toujours ajouter ou supprimer des règles à la liste de sécurité par défaut.

Si votre VCN est activé pour l'adressage IPv6, la liste de sécurité par défaut contient certaines règles par défaut pour le trafic IPv6. Pour plus d'informations, voir Règles de sécurité pour le trafic IPv6.

Activation de la Ping

La liste de sécurité par défaut n'inclut aucune règle autorisant les demandes ping. Si vous prévoyez d'émettre une commande ping sur une instance, voir Règles de traitement des paquets UDP fragmentés.

Règles de sécurité pour le trafic IPv6

Comme les tables de routage, les groupes de sécurité et les listes de sécurité du VCN prennent en charge les règles de sécurité IPv4 et IPv6. Par exemple, un groupe de sécurité de réseau ou une liste de sécurité peut être doté des règles de sécurité suivantes :

  • Règle permettant le trafic SSH depuis le CIDR IPv4 du réseau sur place
  • Règle permettant le trafic ping depuis le CIDR IPv4 du réseau sur place
  • Règle permettant le trafic SSH depuis le préfixe IPv6 du réseau sur place
  • Règle permettant le trafic ping depuis le préfixe IPv6 du réseau sur place

La liste de sécurité par défaut dans un réseau VCN activé pour IPv6 inclut les règles IPv4 par défaut et les règles IPv6 par défaut suivantes :

  • Trafic entrant avec état : Autorise le trafic TCP IPv6 sur le port de destination 22 (SSH) depuis la source ::/0 et tout port source. Cette règle facilite la création d'un réseau VCN avec un sous-réseau public et une passerelle Internet, la création d'une instance Linux, l'ajout d'un service IPv6 avec accès Internet et la connexion immédiate par SSH à cette instance sans avoir à écrire vous-même de règle de sécurité.

    Important

    La liste de sécurité par défaut n'inclut aucune règle autorisant l'accès au protocole RDP. Si vous utilisez des images Windows, ajoutez une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir de la source ::/0 et de tout port source.

    Voir Pour activer l'accès RDP pour plus d'informations.

  • Trafic entrant avec état : Autorise le trafic ICMPv6 de type 2 code 0 (paquetage trop volumineux) depuis la source ::/0 et tout port source. Cette règle permet à vos instances de recevoir les messages de fragmentation de détection de MTU de chemin.
  • Trafic sortant avec état : Si vous choisissez d'autoriser tout le trafic IPv6, les instances peuvent lancer du trafic IPv6 de tout type vers n'importe quelle destination. Notez que les instances disposant d'une connexion IPv6 avec accès Internet peuvent communiquer avec n'importe quelle adresse IPv6 Internet si une passerelle Internet est configurée sur le réseau VCN. Étant donné que les règles de sécurité avec état utilisent le suivi de connexion, le trafic de réponse est autorisé automatiquement, peu importe les règles de trafic entrant. Pour plus d'informations, voir Règles avec état et règles sans état.