Documentation sur Oracle Cloud Infrastructure

Pare-feu virtuel

Sur Compute Cloud@Customer, le service de réseau offre deux fonctions de pare-feu virtuel qui utilisent toutes deux des règles de sécurité pour contrôler le trafic au niveau des paquets (listes de sécurité et groupes de sécurité de réseau). Ils offrent différentes façons d'appliquer des règles de sécurité à un jeu de cartes d'interface réseau virtuelles (vNIC).

  • Listes de sécurité :

    Une liste de sécurité définit des règles de sécurité au niveau du sous-réseau, ce qui signifie que toutes les cartes vNIC d'un sous-réseau particulier sont soumises aux mêmes règles. Chaque VCN est fourni avec une sécurité par défaut contenant les règles par défaut pour le trafic essentiel. La liste de sécurité par défaut est automatiquement utilisée avec tous les sous-réseaux, sauf si une liste de sécurité personnalisée est spécifiée. Un sous-réseau peut avoir jusqu'à cinq listes de sécurité associées.

  • Groupes de sécurité de réseau :

    Un groupe de sécurité de réseau définit des règles de sécurité basées sur l'appartenance. Ses règles de sécurité s'appliquent aux ressources qui sont explicitement ajoutées au groupe de sécurité de réseau. Une carte vNIC peut être ajoutée à cinq groupes au maximum. Un groupe de sécurité de réseau est destiné à fournir un pare-feu virtuel pour un jeu de ressources en nuage ayant la même situation en matière de sécurité. Par exemple, : un groupe d'instances qui exécutent les mêmes tâches et qui doivent donc utiliser le même jeu de ports.

Oracle recommande d'utiliser des groupes plutôt que des listes de sécurité, car ils vous permettent d'isoler l'architecture de sous-réseau VCN des exigences de sécurité de votre application. Toutefois, les groupes NSG ne sont pris en charge que pour des services spécifiques. Il est possible d'utiliser les listes de sécurité et les groupes de sécurité de réseau ensemble, en fonction de vos besoins particuliers en matière de sécurité.

Si vous souhaitez appliquer des règles de sécurité à toutes les cartes vNIC d'un VCN, il est plus simple de placer ces règles dans une liste de sécurité, puis d'associer cette dernière à tous les sous-réseaux du VCN. Ainsi, vous êtes sûr que les règles sont appliquées, quelle que soit la personne de votre organisation qui crée une carte vNIC dans le VCN. Vous pouvez également ajouter les règles de sécurité requises à la liste de sécurité par défaut du VCN.

Si vous choisissez de combiner des listes de sécurité et des groupes de sécurité de réseau, le jeu de règles qui s'applique à une carte VNIC particulière est la réunion des éléments suivants :

  • Les règles de sécurité dans les listes de sécurité associées au sous-réseau de la carte VNIC

  • Les règles de sécurité dans tous les groupes de sécurité de réseau dans lesquels figure la carte vNIC

Un paquet est autorisé si une règle des listes et groupes appropriés permet le trafic ou si le trafic fait partie d'une connexion existante faisant l'objet d'un suivi à cause d'une règle avec état.