Règles de sécurité
Le service de réseau inclut deux fonctions de pare-feu virtuel qui utilisent des règles de sécurité pour contrôler le trafic au niveau du paquet. Les deux fonctions sont les suivantes :
- Listes de sécurité : Fonction de pare-feu virtuel d'origine du service de réseau.
- Groupes de sécurité de réseau (NSG) : Fonction complémentaire conçue pour les composants d'application dont la situation en matière de sécurité est différente. Ces groupes ne sont pris en charge que pour des services spécifiques.
Ces deux fonctions offrent différentes façons d'appliquer des règles de sécurité à un jeu de cartes d'interface réseau virtuelles dans le réseau en nuage virtuel (VCN).
Cette rubrique résume les différences de base entre les deux fonctions. Elle explique également des concepts de règle de sécurité importants. Le mode de création, de gestion et d'application des règles de sécurité varie entre listes de sécurité et groupes de sécurité de réseau. Pour plus de détails sur la mise en oeuvre, consultez les rubriques connexes suivantes :
Vous pouvez utiliser le routage ZPR (Zero Trust Packet Routing) avec ou à la place des groupes de sécurité de réseau pour contrôler l'accès réseau aux ressources OCI en leur appliquant des attributs de sécurité et en créant des politiques ZPR pour contrôler la communication entre eux. Pour plus d'informations, voir Routage de trousse de confiance zéro.
Si un point d'extrémité a un attribut de sécurité ZPR, le trafic vers le point d'extrémité doit respecter les règles ZPR, ainsi que toutes les règles de groupe de sécurité de réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité de réseau et que vous appliquez un attribut de sécurité à un point d'extrémité, dès que l'attribut est appliqué, tout le trafic vers le point d'extrémité est bloqué. À partir de ce moment, une politique ZPR doit autoriser le trafic vers le point d'extrémité.
Comparaison des listes de sécurité et des groupes de sécurité de réseau
Les listes de sécurité vous permettent de définir un jeu de règles de sécurité qui s'applique à toutes les cartes vNIC d'un sous-réseau. Pour utiliser une liste de sécurité donnée avec un sous-réseau particulier, associez-les lors de la création de celui-ci ou ultérieurement. Un sous-réseau peut être associé à cinq listes de sécurité au maximum. Toutes les cartes vNIC créées dans ce sous-réseau sont soumises aux listes de sécurité associées à celui-ci.
Les groupes de sécurité de réseau (NSG) vous permettent de définir un jeu de règles de sécurité qui s'applique à un groupe de cartes vNIC de votre choix (ou aux ressources parents de ces cartes, telles que des équilibreurs de charge ou des systèmes de base de données); par exemple, des cartes vNIC appartenant à un jeu d'instances de calcul ayant toutes la même situation de sécurité. Pour utiliser un groupe de sécurité de réseau donné, ajoutez-y les cartes vNIC concernées. Toutes les cartes vNIC ajoutées sont soumises aux règles de sécurité du groupe. Une carte vNIC peut être ajoutée à cinq groupes au maximum.
Le tableau suivant résume les différences.
| Outil de sécurité | S'applique | Pour activer | Limitations |
|---|---|---|---|
| Listes de sécurité | À toutes les cartes vNIC d'un sous-réseau qui utilisent cette liste de sécurité | Associer la liste de sécurité au sous-réseau | Cinq listes de sécurité au maximum par sous-réseau |
| Groupes de sécurité de réseau | Aux cartes vNIC sélectionnées dans le même réseau VCN | Ajouter des cartes vNIC spécifiques au groupe de sécurité de réseau | Cinq groupes de sécurité de réseau au maximum par carte vNIC |
Oracle recommande d'utiliser des groupes plutôt que des listes de sécurité, car ils vous permettent d'isoler l'architecture de sous-réseau du VCN des exigences de sécurité de votre application.
Vous pouvez toutefois utiliser à la fois des listes et des groupes de sécurité si vous le désirez. Pour plus d'informations, voir Si vous utilisez des listes de sécurité et des groupes de sécurité de réseau.
À propos des cartes vNIC et des ressources parents
Une carte virtuelle est un composant du service de réseau qui permet à une ressource en réseau, telle qu'une instance de calcul, de se connecter à un réseau en nuage virtuel (VCN). La carte vNIC détermine comment l'instance se connecte à des points d'extrémité à l'intérieur et à l'extérieur du réseau VCN. Chaque carte vNIC réside dans un sous-réseau d'un VCN.
Quand vous créez une instance de calcul, une carte vNIC est automatiquement générée pour celle-ci dans son sous-réseau. L'instance est considérée comme la ressource parent de la carte vNIC. Vous pouvez ajouter des cartes vNIC supplémentaires (secondaires) à une instance de calcul. Pour cette raison, les cartes vNIC d'une instance sont mises en évidence parmi les ressources associées à une instance de calcul dans la console.
Il existe d'autres types de ressource parent dont la création entraîne automatiquement celled'une carte vNIC. Par exemple, lorsque vous créez un équilibreur de charge, le service Équilibreur de charge génère automatiquement des cartes vNIC pour le trafic d'équilibre dans le jeu dorsal. De plus, lorsque vous créez un système de base de données, le service de base de données génère automatiquement des cartes vNIC sous forme de noeuds de ce système. Ces services créent et gèrent ces cartes vNIC pour vous. Pour cette raison, ces cartes vNIC ne sont pas aussi évidentes dans la console qu'elles le sont pour les instances de calcul.
Pour utiliser un groupe de sécurité de réseau, placez dedans les cartes vNIC de votre choix. Toutefois, c'est généralement avec la ressource parent que vous travaillez lorsque vous ajoutez une carte vNIC au groupe, et non avec la carte elle-même. Par exemple, lorsque vous créez une instance de calcul, vous pouvez éventuellement lui spécifier un groupe de sécurité de réseau. Même si théoriquement vous placez l'instance dans le groupe, c'est sa carte vNIC principale que vous mettez en fait dans le groupe de sécurité de réseau. Les règles de sécurité du groupe s'appliquent à cette carte vNIC, et non à l'instance. En outre, si vous ajoutez une carte vNIC secondaire à l'instance, vous pouvez lui affecter un groupe de sécurité de réseau. Les règles s'appliquent alors à cette carte, et non à l'instance. Notez que toutes les cartes vNIC d'un groupe de sécurité de réseau donné doivent se trouver dans le réseau en nuage virtuel auquel ce groupe appartient.
De même, lorsque vous placez un équilibreur de charge dans un groupe de sécurité de réseau, vous mettez théoriquement l'équilibreur dans le groupe. Mais ce sont en fait les cartes vNIC gérées par le service Équilibreur de charge que vous placez dans le groupe.
La gestion de l'appartenance d'une carte vNIC à un groupe NSG s'effectue au niveau de la ressource parent et non à celui du groupe lui-même. Autrement dit, pour ajouter une ressource parent à un groupe de sécurité de réseau, vous exécutez l'action sur la ressource (en indiquant les groupes auxquels elle doit être ajoutée). Vous ne pouvez pas exécuter l'action sur le groupe de sécurité de réseau (en spécifiant les cartes vNIC ou les ressources parents à lui ajouter). De même, pour retirer une carte vNIC d'un groupe, vous exécutez cette action en mettant à jour la ressource parent et non le groupe. Par exemple, pour ajouter la carte vNIC d'une instance de calcul à un groupe de sécurité de réseau, vous mettez à jour les propriétés de la carte et spécifiez le groupe. Par exemple, avec l'API REST, vous appelez UpdateVnic. Dans la console, vous affichez l'instance, puis la carte vNIC qui vous intéresse, puis y modifiez les propriétés de cette dernière.
Pour obtenir la liste des ressources parents qui prennent en charge l'utilisation des NSG, voir Prise en charge des groupes de sécurité de réseau.
Groupe de sécurité de réseau source ou destination d'une règle
L'écriture des règles de sécurité pour des NSG diffère grandement de celle des listes de sécurité.
Dans les règles destinées à un groupe de sécurité de réseau, vous pouvez désigner celui-ci comme source (pour les règles de trafic entrant) ou comme destination (pour les règles de trafic sortant) du trafic. Pour les règles de liste de sécurité, vous spécifiez un CIDR comme source ou destination.
Étant donné que vous pouvez spécifier un NSG, vous pouvez facilement écrire des règles pour contrôler le trafic entre deux groupes de sécurité différents. Ces groupes doivent se trouver dans le même réseau en nuage virtuel.
De plus, si vous voulez contrôler le trafic entre les cartes vNIC d'un groupe de sécurité de réseau spécifique (NSG), vous pouvez écrire des règles qui indiquent le NSG de la règle comme source (pour les règles de trafic entrant) ou comme destination (pour les règles de trafic sortant).
Pour plus d'informations, voir Aperçu des groupes de sécurité de réseau.
Différences concernant l'API REST
Le modèle d'API REST pour les groupes de sécurité présente quelques différences de base avec les listes de sécurité. Pour plus d'informations, voir Utilisation de l'API.
Règles par défaut
Votre réseau en nuage virtuel est automatiquement fourni avec une liste de sécurité par défaut qui contient plusieurs règles de sécurité par défaut pour vous permettre d'utiliser immédiatement le service de réseau. Lorsque vous créez un sous-réseau, la liste de sécurité par défaut lui est associée sauf si vous spécifiez une liste personnalisée figurant déjà dans le VCN.
À titre de comparaison, le VCN NE DISPOSE PAS de groupe de sécurité de réseau par défaut.
Limites
Les deux fonctions ont des limites différentes. Voir Limites de service pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite.
|
Ressource |
Étendue |
Crédits universels d'Oracle |
Facturation à l'usage ou essai |
|---|---|---|---|
| Listes de sécurité | VCN | 300 | 300 |
| Listes de sécurité | Sous-réseau | 5* | 5* |
| Règles de sécurité | Liste de sécurité |
200 règles de trafic entrant* et 200 règles de trafic sortant* |
200 règles de trafic entrant* et 200 règles de trafic sortant* |
| * La limite pour cette ressource ne peut pas être augmentée. | |||
| Ressource | Étendue | Crédits universels d'Oracle | Facturation à l'usage ou essai |
|---|---|---|---|
| Groupes de sécurité de réseau | VCN | 1 000 | 1 000 |
| Cartes vNIC | Groupe de sécurité de réseau |
Un groupe de sécurité de réseau donné peut comporter autant de cartes vNIC que le VCN. Une carte vNIC donnée peut appartenir à un maximum de 5 groupes de sécurité de réseau.* |
Un groupe de sécurité de réseau donné peut comporter autant de cartes vNIC que le VCN. Une carte vNIC donnée peut appartenir à un maximum de 5 groupes de sécurité de réseau.* |
| Règles de sécurité | Groupe de sécurité de réseau |
120 (trafics entrant et sortant totaux) |
120 (trafics entrant et sortant totaux) |
| * La limite pour cette ressource ne peut pas être augmentée. | |||
Meilleures pratiques pour les règles de sécurité
Utiliser des groupes de sécurité de réseau
Oracle recommande d'utiliser des groupes de sécurité de réseau pour les composants dont la situation en matière de sécurité est identique. Par exemple, dans une architecture multiniveau, vous disposeriez d'un groupe de sécurité de réseau distinct pour chaque niveau. Les cartes vNIC d'un niveau donné appartiendraient toutes au groupe de ce niveau. Dans un niveau donné, vous auriez peut-être un sous-ensemble particulier de ses cartes vNIC dotées d'exigences de sécurité spéciales supplémentaires. Par conséquent, vous créeriez un autre groupe pour ces règles supplémentaires, puis placeriez ce sous-ensemble de cartes vNIC dans le groupe du niveau et dans le groupe supplémentaire.
Oracle recommande également d'utiliser des groupes de sécurité de réseau, car la priorité leur sera accordée par rapport aux listes de sécurité lors de la mise en oeuvre des améliorations futures.
Se familiariser avec les règles de liste de sécurité par défaut
Votre réseau en nuage virtuel est automatiquement fourni avec une liste de sécurité par défaut qui contient plusieurs règles de sécurité par défaut pour vous permettre d'utiliser immédiatement le service de réseau. Ces règles existent car elles activent la connectivité de base. Même si vous choisissez de ne pas utiliser de listes de sécurité ou la liste par défaut, familiarisez-vous avec les règles pour mieux comprendre les types de trafic requis par les ressources réseau en nuage. Vous pourriez souhaiter utiliser ces règles dans vos groupes de sécurité ou dans des listes de sécurité que vous avez configurées.
La liste de sécurité par défaut n'inclut pas de règles pour activer la commande ping. Si vous devez utiliser cette commande, voir Règles d'activation de la commande ping.
Ne pas supprimer les règles de sécurité par défaut sans discernement
Votre réseau en nuage virtuel peut comporter des sous-réseaux qui utilisent la liste de sécurité par défaut. Ne supprimez aucune des règles de sécurité par défaut de la liste sans confirmer au préalable que les ressources de votre VCN n'en ont pas besoin. Sinon, vous risquez d'interrompre la connectivité de votre VCN.
Confirmer que les règles de pare-feu du système d'exploitation sont adaptées aux règles de sécurité
Vos instances exécutant des images de plate-forme comportent également des règles de pare-feu de système d'exploitation qui contrôlent l'accès à l'instance. Lors du dépannage de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement :
- Règles des groupes de sécurité de réseau dans lesquels se trouve l'instance
- Règles dans les listes de sécurité associées au sous-réseau de l'instance
- Règles de pare-feu du système d'exploitation de l'instance
Si votre instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. À titre de référence, voici les commandes d'ouverture d'un port (1521 dans cet exemple) :
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reloadPour les instances dotées d'un volume de démarrage iSCSI, la commande --reload précédente peut provoquer des problèmes. Pour plus d'informations et une solution de rechange, voir Le système des instances se bloque après l'exécution de firewall-cmd --reload.
Utiliser les mesures liées aux cartes vNIC pour dépanner les paquets abandonnés à cause de règles de sécurité
Le service de réseau offre des mesures pour les cartes vNIC. Ces mesures montrent les niveaux de trafic sur la carte vNIC (paquets et octets). Deux mesures concernent les paquets entrants et sortants qui enfreignent les règles de sécurité et sont donc abandonnés. Vous pouvez utiliser ces mesures pour résoudre les problèmes liés aux règles de sécurité et déterminer si vos cartes vNIC reçoivent le trafic souhaité.
Si vous utilisez des listes de sécurité et des groupes de sécurité de réseau
Vous pouvez utiliser seulement des listes de sécurité ou des groupes de sécurité de réseau, ou les deux ensemble. Tout dépend de vos besoins en matière de sécurité.
Si vous souhaitez appliquer des règles de sécurité particulières à toutes les cartes vNIC d'un VCN, il est plus simple de placer ces règles dans une liste de sécurité, puis d'associer cette dernière à tous les sous-réseaux du VCN. Ainsi, vous êtes sûr que les règles sont appliquées, quelle que soit la personne de votre organisation qui crée une carte vNIC dans le VCN. Si vous le souhaitez, vous pouvez utiliser la liste de sécurité par défaut qui accompagne automatiquement le VCN et qui contient un jeu de règles essentielles par défaut.
Si vous choisissez d'utiliser des listes de sécurité et des groupes de sécurité de réseau, le jeu de règles qui s'applique à une carte vNIC particulière est la réunion des éléments suivants :
- Les règles de sécurité dans les listes de sécurité associées au sous-réseau de la carte vNIC
- Les règles de sécurité dans tous les groupes de sécurité de réseau dans lesquels figure la carte vNIC
Le diagramme suivant est une représentation simple de ce concept.
Un paquet est autorisé si une règle des listes et des groupes pertinents permet le trafic (ou si le trafic fait partie d'une connexion existante faisant l'objet d'un suivi). Une restriction s'applique si les listes comprennent des règles avec état et sans état qui couvrent le même trafic. Pour plus d'informations, voir Règles avec état et règles sans état.
Parties d'une règle de sécurité
Une règle de sécurité permet un type particulier de trafic entrant ou sortant d'une carte vNIC. Par exemple, une règle de sécurité courante autorise le trafic entrant par le port TCP 22 pour établir des connexions SSH à l'instance (plus précisément aux cartes vNIC de celle-ci). Sans les règles de sécurité, aucun trafic n'est autorisé à destination et en provenance des cartes vNIC du VCN.
Les règles de sécurité ne sont pas appliquées au concernant le bloc CIDR 169.254.0.0/16, qui inclut des services tels que les métadonnées iSCSI et d'instance.
Chaque règle de sécurité définit les éléments suivants :
- Direction (entrant et sortant) : Entrant indique que le trafic est à destination de la carte vNIC et sortant, qu'il en provient. Le modèle d'API REST pour les listes de sécurité est différent de celui des groupes de sécurité de réseau. Dans le cas des listes de sécurité, il existe un objet
IngressSecurityRuleet un objetEgressSecurityRuledistinct. Dans le cas des groupes de sécurité de réseau, il n'existe qu'un objetSecurityRuleet l'attributdirectionde l'objet détermine si la règle concerne le trafic entrant ou sortant. - Avec état ou sans état : Avec état, le suivi de connexion est utilisé pour le trafic correspondant à la règle. Sans état, aucun suivi de connexion n'est utilisé. Voir Règles avec état et règles sans état.
-
Type de source et source (règles de trafic entrant uniquement) : La source fournie pour une règle de trafic entrant dépend du type choisi.
Types de source autorisésType de source Source autorisée CIDR Bloc CIDR d'origine du trafic. Utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Le préfixe est obligatoire (par exemple, incluez le /32 si vous spécifiez une adresse IP individuelle). Groupe de sécurité de réseau Groupe de sécurité de réseau appartenant au même VCN que le groupe de cette règle.
Ce type de source n'est disponible que si la règle appartient à un groupe de sécurité et non à une liste de sécurité.
Service Uniquement pour les paquets provenant d'un service Oracle au moyen d'une passerelle de service. S'il n'y a pas de passerelle de service dans votre VCN, le trafic provenant de l'adresse IP publique d'un point d'extrémité OSN peut acheminer vers un VCN au moyen d'une passerelle NAT ou Internet. Le trafic traverse toujours l'OCI vers votre VCN.
Le service source est l'étiquette CIDR du service qui vous intéresse.
-
Type de destination et destination (règles de trafic sortant seulement) : La destination fournie pour une règle de trafic sortant dépend du type choisi.
Types de destination autorisésType de destination Destination autorisée CIDR Bloc CIDR vers lequel le trafic se dirige. Utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Le préfixe est obligatoire (par exemple, incluez le /32 si vous spécifiez une adresse IP individuelle). Groupe de sécurité de réseau Groupe de sécurité de réseau appartenant au même VCN que le groupe de cette règle.
Ce type de destination n'est disponible que si la règle appartient à un groupe de sécurité et non à une liste de sécurité.
Service Uniquement pour les paquets se dirigeant vers un service Oracle (tel que le stockage d'objets) au moyen d'une passerelle de service. Si aucune passerelle de service n'est présente dans votre VCN, le trafic à destination de l'adresse IP publique d'un point d'extrémité OSN peut être acheminé vers OSN au moyen d'une passerelle NAT ou d'une passerelle Internet. L'acheminement au moyen d'une passerelle de service vous permet de sélectionner les points d'extrémité Oracle Services Network (OSN) vers lesquels vous voulez acheminer le trafic (choisissez Stockage d'objets seulement ou Tous les services).
Le service de destination est l' étiquette CIDR du service OSN qui vous intéresse.
- Protocole IP : un protocole IPv4 unique ou indiquez "all" pour couvrir tous les protocoles.
- Port source : port d'origine du trafic. Pour TCP ou UDP, vous pouvez spécifier tous les ports sources, un numéro de port source unique ou un intervalle.
- Port de destination : port vers lequel le trafic est dirigé. Pour TCP ou UDP, vous pouvez spécifier tous les ports de destination, un numéro de port de destination unique ou un intervalle.
- Type et code ICMP : Pour ICMP, vous pouvez spécifier tous les types et codes, ou un seul type ICMP avec un code facultatif. Si le type comporte plusieurs codes, créez une règle distincte pour chaque code que vous souhaitez autoriser.
- Description (règles de groupe de sécurité uniquement) : les règles de sécurité NSG incluent un attribut facultatif qui vous permet de fournir une description conviviale de la règle. Cette fonction n'est pas prise en charge actuellement pour les règles de liste de sécurité.
Pour obtenir des exemples de règles de sécurité, voir Scénarios d'utilisation du service de réseau.
Pour connaître le nombre limite de règles possibles, voir Comparaison des listes de sécurité et des groupes de sécurité de réseau.
Si vous utilisez des groupes de sécurité de réseau, et que deux cartes vNIC figurant dans le même VCN doivent communiquer à l'aide de leurs adresses IP publiques, vous devez utiliser l'adresse IP publique de la carte vNIC et non son groupe comme source (pour l'entrée) ou destination (pour la sortie) dans les règles de sécurité concernées. Le paquet est acheminé vers la passerelle Internet du VCN. À ce niveau, les informations NSG de la carte vNIC ne sont pas disponibles. Par conséquent, une règle de sécurité spécifiant le NSG comme source ou destination sera inutile pour autoriser ce type spécifique de trafic.
Règles avec état et règles sans état
Lorsque vous créez une règle de sécurité, vous indiquez si elle est avec état ou sans état. La différence est décrite dans les sections suivantes. La valeur par défaut est avec état. Les règles sans état sont recommandées si vous avez un site Web externe à haut volume accessible sur Internet (pour le trafic HTTP/HTTPS).
Cette section fait expressément référence aux instances de calcul et à leur trafic. Toutefois, la discussion s'applique à tous les types de ressources dotées de cartes vNIC. Voir Comparaison des listes de sécurité et des groupes de sécurité de réseau.
Règles avec état
Une règle de sécurité marquée avec état indique que vous voulez utiliser le suivi de connexion pour le trafic qui correspond à cette règle. Lorsqu'une instance reçoit du trafic correspondant à la règle de trafic entrant avec état, la réponse est suivie et son retour à l'hôte d'origine est autorisé automatiquement, quelles que soient les règles de trafic sortant applicables à l'instance. Et lorsqu'une instance envoie du trafic correspondant à une règle de trafic sortant avec état, la réponse entrante est automatiquement autorisée, peu importe les règles de trafic entrant.
Par exemple, vous pouvez avoir une règle de trafic entrant avec état pour une instance (instance A) qui doit recevoir du trafic HTTP de l'hôte B et y répondre. L'hôte B peut être tout hôte, que ce soit une instance ou non. L'instance A et l'hôte B communiquent car la règle de trafic entrant avec état autorise le trafic depuis n'importe quelle adresse IP source (0.0.0.0/0) vers le port de destination 80 uniquement (protocole TCP). Aucune règle de trafic sortant n'est nécessaire pour autoriser le trafic de réponse, car les réponses sont automatiquement suivies et autorisées.
Les règles avec état stockent les informations dans une table de suivi des connexions sur chaque instance de calcul. La taille de cette table est propre à la forme de calcul utilisée (voir la page des limites de service pour Suivi de connexion). Lorsque la table de suivi des connexions est pleine, les nouvelles informations d'état ne peuvent pas être ajoutées et les nouvelles connexions subiront une perte de paquets. L'utilisation d'une forme de calcul plus grande vous permettra d'avoir une table plus grande, mais cela peut ne pas suffire pour empêcher la perte de paquets lors de l'utilisation de règles avec état.
Si votre sous-réseau a un volume de trafic élevé, Oracle recommande d'utiliser des règles sans état au lieu de règles avec état.
Règles sans état
La figure suivante présente l'instance A et l'hôte B de l'exemple précédent, mais cette fois avec des règles de sécurité sans état. Comme la règle avec état de la section précédente, la règle de trafic entrant sans état autorise le trafic depuis toutes les adresses IP et tous les ports, sur le port de destination 80 (à l'aide du protocole TCP). Pour autoriser le trafic de réponse, une règle de trafic sortant sans état correspondante doit autoriser le trafic vers toute adresse IP de destination (0.0.0.0/0) et tout port, à partir du port source 80 (à l'aide du protocole TCP).
Si l'instance A doit plutôt lancer le trafic HTTP et obtenir la réponse, un autre jeu de règles sans état est nécessaire. Comme l'illustre la figure suivante, la règle de trafic sortant indique port source = tous et port de destination = 80 (HTTP). La règle de trafic entrant indiquerait donc : port source = 80 et port de destination = tous.
Si vous deviez utiliser une liaison de port sur l'instance A pour spécifier exactement le port d'origine du trafic HTTP, vous pourriez l'indiquer comme port source dans la règle de trafic sortant et comme port de destination dans la règle de trafic entrant.
Si, pour une raison particulière, vous utilisez des règles avec état et sans état, et qu'il existe du trafic qui correspond à une règle avec et sans état dans une direction particulière (par exemple, entrant), la règle sans état a priorité et la connexion n'est pas suivie. Il vous faudrait une règle correspondante dans l'autre direction (par exemple, sortant, sans état ou avec état) pour autoriser le trafic de réponse.
Détails de suivi de la connexion pour les règles avec état
Oracle se sert du suivi de connexion pour autoriser les réponses au trafic qui correspond aux règles avec état (voir Règles avec état et règles sans état). Pour chaque instance, un nombre maximal de connexions concurrentes peuvent faire l'objet d'un suivi en fonction de la forme de l'instance.
Pour déterminer le trafic de réponse pour TCP, UDP et ICMP, Oracle effectue le suivi des connexions sur ces éléments pour le paquet :
- Protocole
- Adresses IP d'origine et de destination
- Ports d'origine et de destination (pour TCP et UDP uniquement)
Pour les autres protocoles, Oracle assure le suivi des adresses IP et des protocoles, et non des ports. Ainsi, lorsqu'une instance émet du -trafic vers un autre hôte et que ce trafic est autorisé par les règles de sécurité de trafic sortant, le trafic que l'instance reçoit par la suite de cet hôte est considéré pendant un certain temps comme la réponse et est autorisé.
Les connexions suivies sont maintenues tant que le trafic est reçu pour la connexion. Si une connexion est inactive suffisamment longtemps, elle expire et est supprimée. Après la suppression, les réponses à une règle de sécurité avec état sont supprimées. Le tableau suivant présente les délais d'inactivité par défaut :
| Protocole | État | Délai d'inactivité |
|---|---|---|
| TCP | Établi | 1 jour |
| TCP | Configuration | 1 minute |
| TCP | Fermeture | 2 minutes |
| UDP | Établi (paquet reçu dans les deux sens) | 3 minutes |
| UDP | Non établi (paquet reçu dans une seule direction) | 30 secondes |
| ICMP | S.O. | 15 secondes |
| Autre | S.O. | 5 minutes |
Activation des messages de détection de MTU de chemin pour les règles sans état
Si vous décidez d'utiliser des règles de sécurité sans état pour permettre le trafic vers/depuis des points d'extrémité en dehors du VCN, il est important d'ajouter une règle de sécurité autorisant le trafic ICMP entrant de type 3 code 4 à partir de la source 0.0.0.0/0 et de tout port source. Cette règle permet à vos instances de recevoir les messages de fragmentation de détection de MTU de chemin. Cette règle est indispensable à l'établissement d'une connexion à vos instances. Sans elle, vous risquez de rencontrer des problèmes de connectivité. Pour plus d'informations, voir Interruption de connexion.
Règles d'activation de la commande ping
La liste de sécurité par défaut du VCN contient plusieurs règles par défaut, mais aucune n'autorise les demandes ping. Pour effectuer une commande ping sur une instance, assurez-vous que les listes ou les groupes de sécurité applicables de l'instance incluent une règle de trafic entrant avec état supplémentaire autorisant spécifiquement le trafic ICMP de type 8 depuis le réseau d'où vous prévoyez d'émettre la commande. Pour autoriser l'accès ping depuis Internet, utilisez 0.0.0.0/0 pour la source. Notez que cette règle pour la commande ping est distincte des règles ICMP par défaut de la liste de sécurité par défaut. Ne supprimez pas ces règles.
Règles de traitement des paquets UDP fragmentés
Les instances peuvent envoyer ou recevoir du trafic UDP. Si un paquet UDP est trop volumineux pour la connexion, il est fragmenté. Cependant, seul le premier fragment du paquet contient les informations sur le protocole et le port. Si les règles de sécurité qui autorisent ce trafic entrant ou sortant spécifient un numéro de port particulier (source ou destination), les fragments suivant le premier sont abandonnés. Si vous prévoyez que vos instances envoient ou reçoivent des paquets UDP importants, réglez à ALL (au lieu d'un numéro de port particulier) les ports source et de destination dans les règles de sécurité concernées.