Documentation sur Oracle Cloud Infrastructure

Service de pare-feu virtuel

Sur Compute Cloud@Customer, le service de réseau offre deux fonctions de pare-feu virtuel qui utilisent des règles de sécurité pour contrôler le trafic au niveau du paquet : listes de sécurité et groupes de sécurité de réseau. Ils offrent différentes façons d'appliquer des règles de sécurité à un jeu de cartes d'interface réseau virtuelles (vNIC).

  • Listes de sécurité :

    Une liste de sécurité définit des règles de sécurité au niveau du sous-réseau, ce qui signifie que toutes les cartes vNIC d'un sous-réseau particulier sont sujettes aux mêmes règles. Chaque VCN est accompagné d'une sécurité par défaut contenant des règles par défaut pour le trafic essentiel. La liste de sécurité par défaut est automatiquement utilisée avec tous les sous-réseaux, sauf si une liste de sécurité personnalisée est spécifiée. Un sous-réseau peut avoir jusqu'à cinq listes de sécurité associées.

  • Groupes de sécurité de réseau :

    Un groupe de sécurité de réseau définit des règles de sécurité en fonction de l'appartenance. Ses règles de sécurité s'appliquent aux ressources qui sont explicitement ajoutées au groupe de sécurité de réseau. Une carte VNIC peut être ajoutée à cinq groupes au maximum. Un groupe de sécurité de réseau est conçu pour fournir un pare-feu virtuel pour un jeu de ressources en nuage ayant la même situation de sécurité. Par exemple, un groupe d'instances qui exécutent les mêmes tâches et qui doivent donc utiliser le même jeu de ports.

Oracle recommande d'utiliser des groupes plutôt que des listes de sécurité, car ils vous permettent de séparer l'architecture de sous-réseau VCN des exigences de sécurité de votre application. Toutefois, ils ne sont pris en charge que pour des services spécifiques. Il est possible d'utiliser des listes de sécurité et des groupes de sécurité réseau ensemble, selon vos besoins particuliers en matière de sécurité.

Si vous souhaitez appliquer des règles de sécurité pour toutes les cartes vNIC d'un VCN, il est plus simple de placer ces règles dans une liste de sécurité, puis d'associer cette dernière à tous les sous-réseaux du VCN. Ainsi, vous êtes sûr que les règles sont appliquées, quelle que soit la personne de votre organisation qui crée une carte VNIC dans le VCN. Vous pouvez également ajouter les règles de sécurité requises à la liste de sécurité par défaut du VCN.

Si vous choisissez de combiner des listes de sécurité et des groupes de sécurité de réseau, le jeu de règles qui s'applique à une carte VNIC particulière est la réunion des éléments suivants :

  • Les règles de sécurité dans les listes de sécurité associées au sous-réseau de la carte VNIC

  • Les règles de sécurité dans tous les groupes de réseau dans lesquels figure la carte VNIC

Un paquet est autorisé si une règle des listes et des groupes pertinents permet le trafic, ou si le trafic fait partie d'une connexion existante faisant l'objet d'un suivi en raison d'une règle avec état.