Listes de sécurité
Le service Networking propose deux fonctionnalités de pare-feu virtuel pour contrôler le trafic au niveau du paquet :
- Listes de sécurité : abordées dans cette rubrique. Il s'agit du type d'origine de pare-feu virtuel offert par le service Networking.
- Groupes d'accès réseau : autre type de pare-feu virtuel que nous recommandons par rapport aux listes de sécurité. Reportez-vous à Groupes de sécurité réseau.
Ces deux fonctionnalités utilisent des règles de sécurité. Pour consulter des informations importantes sur le fonctionnement des règles de sécurité et obtenir une comparaison générale entre les listes de sécurité et les groupes de sécurité réseau, reportez-vous à Règles de sécurité.
Points clés
- Les listes de sécurité servent à des pare-feu virtuels pour les instances Compute et d'autres types de ressources. Une liste de sécurité se compose d'un ensemble de règles de sécurité entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelles dans n'importe quel sous-réseau auquel la liste de sécurité est associée. Autrement dit, toutes les VNIC d'un sous-réseau particulier sont soumises au même ensemble de listes de sécurité. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
- Les règles de liste de sécurité fonctionnent comme les règles de groupe de sécurité réseau. Pour en savoir plus sur les paramètres des règles, reportez-vous à Parties d'une règle de sécurité.
- Chaque réseau cloud virtuel comprend une liste de sécurité par défaut qui possède plusieurs règles par défaut pour le trafic essentiel. Si vous ne spécifiez pas de liste de sécurité personnalisée pour un sous-réseau, la liste de sécurité par défaut est automatiquement utilisée avec ce sous-réseau. Vous pouvez ajouter des règles à la liste de sécurité par défaut et en enlever.
- Les listes de sécurité présentent des limites distinctes et différentes de celles des groupes de sécurité réseau. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
Présentation des listes de sécurité
Chaque sous-réseau peut être associé à plusieurs listes de sécurité, et chaque liste peut contenir de nombreuses règles (pour connaitre le nombre maximal, reportez-vous à la Comparaison des listes de sécurité et des groupes de sécurité réseau). Un paquet donné est autorisé si une règle dans l'une des listes autorise le trafic (ou si le trafic fait partie d'une connexion existante suivie) à moins que les listes ne contiennent des règles avec et sans conservation de statut qui couvrent le même trafic. Pour plus d'informations, reportez-vous à Par rapport avec les règles sans conservation de statut.
Les listes de sécurité sont des entités régionales. Pour connaître les limites relatives aux listes de sécurité, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
Les listes de sécurité peuvent contrôler le trafic IPv4 et IPv6. L'adressage IPv6 et les règles de liste de sécurité associées sont pris en charge dans toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.
Pour obtenir des informations sur les limites, reportez-vous à Limites des listes de sécurité et à Demande d'augmentation de limite de service.
Liste de sécurité par défaut
Contrairement aux autres listes d'état, la liste d'état par défaut comprend un ensemble initial de règles avec conservation d'état. Nous vous recommandons de modifier ces règles pour autoriser uniquement le trafic entrant à partir de sous-réseaux autorisés pertinents pour la région qui héberge ce VCN ou ce sous-réseau. La liste des plages de sous-réseau autorisées applicables à chaque région est disponible à l'adresse suivante : https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.
-
Entrante avec conservation de statuts : autorise le trafic TCP sur le port 22 de destination (SSH) à partir des adresses IP source autorisées et de n' importe quel port source. Cette règle facilite la création d'un réseau cloud et d'un sous-réseau public, la création d'une instance Linux, puis l'utilisation directe de SSH pour la connexion à cette instance sans avoir à écrire de règles de liste De sécurité vous-même.
Important
La liste d'accès par défaut n'inclut aucune règle autorisant l'accès RDP (Remote Desktop Protocol). Si vous utilisez des imagesWindows, veillez d'ajouter une règle entrante avec conservation de état pour le trafic TCP sur le port 3389 de destination à partir des adresses IP source autorisées et de n' importe quel port source.
Pour plus d'informations, reportez-vous à Procédure d'autorisation de l'accès RDP.
- Entrante avec conservation de statuts : autorise le trafic ICMP de type 3 et du code 4 à partir des adresses IP source autorisées. Cette règle permet aux instances Compute de recevoir des messages de fragmentation de repérage du MTU de chemins.
- Entrante avec conservation de statut : autorisez le trafic ICMP de type 3 (tous les codes) à partir du bloc CIDR du VCN. Cette règle permet aux instances Compute de recevoir facilement les messages d'erreur de connectivité d'autres instances du VCN.
- Sortante avec conservation de statut : autorise tout le trafic. Cela permet aux instances de démarrer le trafic de n'importe quel type vers n'importe quelle destination. Cela signifie que les instances avec des adresses IP publiques peuvent communiquer avec n'importe quelle adresse IP Internet si le réseau cloud virtuel comporte une passerelle Internet configurée. De plus, comme les règles de sécurité avec conservation de statut utilisent le suivi de connexion, le trafic de réponse est automatiquement autorisé indépendamment des règles entrantes. Pour plus d'informations, reportez-vous à Par rapport avec les règles sans conservation de statut.
La liste de sécurité par défaut ne comprend pas de règle sans conservation de statut. Toutefois, vous pouvez toujours ajouter des règles à la liste de sécurité par défaut et en enlever.
Si le VCN est activé pour l'adressage IPv6 de la liste de sécurité par défaut contient des règles par défaut pour le trafic IPv6. Pour plus d'informations, reportez-vous à Règles de sécurité pour le trafic IPv6.
Autorisation de la commande ping
La liste d'accès par défaut n'inclut aucune règle autorisant la demande ping. Si vous prévoyez d'envoyer une commande ping à une instance, reportez-vous à Règles de gestion des paquets UDP fragmentés.
Règles de sécurité pour le trafic IPv6
Les groupes de sécurité réseau et les listes de sécurité du VCN prennent en charge les IPv4 et les règles de sécurité IPv6. Par exemple, un groupe de sécurité réseau ou une liste de sécurité peut posséder les règles de sécurité suivantes :
- Règle permettant d'autoriser le trafic SSH à partir du CIDR IPv4 du réseau sur site
- Règle permettant d'autoriser le trafic ping à partir du CIDR IPv4 du réseau sur site
- Règle permettant d'autoriser le trafic SSH à partir du préfixe IPv6 du réseau sur site
- Règle permettant d'autoriser le trafic ping à partir du préfixe IPv6 du réseau sur site
La liste de sécurité par défaut d'un réseau cloud virtuel compatible IPv6 inclut des règles IPv4 par défaut ainsi que les règles IPv6 par défaut suivantes :
-
Entrante avec conservation de statut : autorise le trafic TCP IPv6 sur le port de destination 22 (SSH) à partir de la source ::/0 et n'importe quel port source. Cette règle facilite la création d'un réseau cloud virtuel avec un sous-réseau public et une passerelle Internet, la création d'une instance Linux, l'ajout d'une adresse IPv6 dotée d'un accès Internet, puis la connexion immédiate par le biais de SSH à cette instance sans qu'il soit nécessaire d'écrire vous-même des règles de sécurité.
Important
La liste de sécurité par défaut n'inclut pas de règle autorisant l'accès RDP (Remote Desktop Protocol). Si vous utilisez des images Windows, ajoutez une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 3389 à partir de la source ::/0 et de n'importe quel port source.
Pour plus d'informations, reportez-vous à Procédure d'autorisation de l'accès RDP.
- Entrante avec conservation de statut : autorise le trafic ICMPv6 de type 2, code 0 (Paquet trop volumineux) à partir de la source ::/0 et de tout port source. Cette règle permet aux instances de recevoir des messages de fragmentation du repérage de MTU de chemin.
- Sortante avec état : le choix d'autoriser l'ensemble du trafic IPv6 permet à des instances de démarrer le trafic IPv6 de n'importe quel type vers n'importe quelle destination. Les instances avec une adresse IPv6 dotée d'un accès Internet peuvent communiquer avec n'importe quelle adresse IPv6 Internet si le réseau cloud virtuel dispose d'une passerelle Internet configurée. De plus, comme les règles de sécurité avec conservation de statut utilisent le suivi de connexion, le trafic de réponse est automatiquement autorisé indépendamment des règles entrantes. Pour plus d'informations, reportez-vous à Par rapport avec les règles sans conservation de statut.
Règles de sécurité
Si vous ne connaissez pas encore les bases des règles de sécurité, reportez-vous aux sections suivantes de la rubrique Règles de sécurité :