Liste di sicurezza

Il servizio Networking offre due funzionalità firewall virtuali per controllare il traffico a livello di pacchetto:

Elenchi di sicurezza: descritti in questo argomento. Questo è il tipo originale di firewall virtuale offerto dal servizio di Networking.
Gruppi di sicurezza di rete: un altro tipo di firewall virtuale consigliato da Oracle sulle liste di sicurezza. Vedere Gruppi di sicurezza di rete.

Entrambe le funzioni utilizzano regole di sicurezza. Per informazioni importanti sul funzionamento delle regole di sicurezza e un confronto generale tra liste di sicurezza e gruppi di sicurezza di rete, vedere Regole di sicurezza.

Evidenziazioni

Gli elenchi di sicurezza fungono da firewall virtuali per le istanze di computazione e altri tipi di risorse. Una lista di sicurezza è costituita da un set di regole di sicurezza in entrata e in uscita che si applicano a tutte le VNIC in qualsiasi subnet a cui è associata la lista di sicurezza. Ciò significa che tutte le VNIC in una determinata subnet sono soggette allo stesso set di liste di sicurezza. Vedere Confronto tra liste di sicurezza e gruppi di sicurezza di rete.
Le regole della lista di sicurezza funzionano allo stesso modo delle regole del gruppo di sicurezza di rete. Per una discussione sui parametri delle regole, vedere Parti di una regola di sicurezza.
Ogni VCN viene fornita con una lista di sicurezza predefinita che dispone di diverse regole predefinite per il traffico essenziale. Se non specifichi una lista di sicurezza personalizzata per una subnet, la lista di sicurezza predefinita viene utilizzata automaticamente con tale subnet. È possibile aggiungere e rimuovere regole dalla lista di sicurezza predefinita.
Le liste di sicurezza prevedono limiti distinti e diversi rispetto ai gruppi di sicurezza di rete. Vedere Confronto tra liste di sicurezza e gruppi di sicurezza di rete.

Panoramica delle liste di sicurezza

Un elenco di sicurezza funge da firewall virtuale per un'istanza, con regole di entrata e uscita che specificano i tipi di traffico consentito verso e verso l'esterno. Ogni lista di sicurezza viene applicata a livello di VNIC. Tuttavia, puoi configurare gli elenchi di sicurezza a livello di subnet, nel qual caso tutte le VNIC di una determinata subnet sono soggette allo stesso set di elenchi di sicurezza. Gli elenchi di sicurezza si applicano a una determinata VNIC, indipendentemente dal fatto che comunichi con un'altra istanza nella VCN o con un host esterno alla VCN.

A ogni subnet possono essere associate più liste di sicurezza e ciascuna lista può avere più regole (per il numero massimo, vedere Confronto tra le liste di sicurezza e i gruppi di sicurezza di rete). Un pacchetto in questione è consentito se qualsiasi regola in una qualsiasi delle liste consente il traffico (o se il traffico fa parte di una connessione esistente che viene tracciata). C'è un avvertimento se le liste contengono regole sia stateful che stateless che coprono lo stesso traffico. Per ulteriori informazioni, vedere Regole con conservazione dello stato e senza conservazione dello stato.

Gli elenchi di sicurezza sono entità regionali. Per i limiti correlati agli elenchi di sicurezza, vedere Confronto tra elenchi di sicurezza e gruppi di sicurezza di rete.

Le liste di sicurezza possono controllare sia il traffico IPv4 che il traffico IPv6. L'indirizzamento a IPv6 e le relative regole per gli elenchi di sicurezza sono supportati in tutte le aree commerciali e governative. Per maggiori informazioni, vedere IPv6 Indirizzi.

Vedere Limiti dell'elenco di sicurezza e Richiesta di un aumento del limite del servizio per informazioni relative ai limiti.

Elenco sicurezza predefinita

A differenza di altri elenchi di sicurezza, la lista di sicurezza predefinita viene fornita con un set iniziale di regole con conservazione dello stato, che nella maggior parte dei casi devono essere modificate per consentire solo il traffico in entrata dalle subnet autorizzate rilevanti per l'area in cui risiede la VCN o la subnet. È possibile trovare una lista di intervalli di subnet autorizzati relativi a ciascuna area all'indirizzo https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

In entrata con conservazione dello stato: consenti il traffico TCP sulla porta di destinazione 22 (SSH) dagli indirizzi IP di origine autorizzati e da qualsiasi porta di origine. Questa regola semplifica la creazione di una nuova rete cloud e di una subnet pubblica, l'avvio di un'istanza Linux e l'utilizzo immediato della shell SSH per connettersi a tale istanza senza dover scrivere manualmente le regole della lista di sicurezza.

Importante

L'elenco di sicurezza predefinito non include una regola per consentire l'accesso a RDP (Remote Desktop Protocol). Se si utilizzano immagini di Windows, assicurarsi di aggiungere una regola di entrata con conservazione dello stato per il traffico TCP sulla porta di destinazione 3389 dagli indirizzi IP di origine autorizzati e da qualsiasi porta di origine.

Per ulteriori informazioni, vedere Per abilitare l'accesso a RDP.
In entrata con conservazione dello stato: consentire il codice 4 del traffico ICMP di tipo 3 dagli indirizzi IP di origine autorizzati. Questa regola consente alle istanze di ricevere messaggi di frammentazione della ricerca automatica MTU del percorso.
In entrata con conservazione dello stato: consenti al traffico ICMP di tipo 3 (tutti i codici) dal blocco CIDR della tua VCN. Questa regola semplifica la ricezione dei messaggi di errore di connettività da altre istanze all'interno della VCN da parte delle istanze.
Uscita con conservazione dello stato: consenti tutto il traffico. Ciò consente alle istanze di avviare il traffico di qualsiasi tipo verso qualsiasi destinazione. Ciò significa che le istanze con indirizzi IP pubblici possono comunicare con qualsiasi indirizzo IP Internet se la VCN dispone di un gateway Internet configurato. Inoltre, poiché le regole di sicurezza con conservazione dello stato utilizzano il monitoraggio della connessione, il traffico delle risposte viene automaticamente consentito indipendentemente dalle regole di entrata. Per ulteriori informazioni, vedere Regole con conservazione dello stato e senza conservazione dello stato.

La lista di sicurezza predefinita non include regole senza conservazione dello stato. Tuttavia, è sempre possibile aggiungere o rimuovere regole dall'elenco di sicurezza predefinito.

Se la VCN è abilitata per l'indirizzamento IPv6 della lista di sicurezza predefinita contiene alcune regole predefinite per il traffico IPv6. Per ulteriori informazioni, vedere Regole di sicurezza per il traffico IPv6.

Abilitazione del ping

La lista di sicurezza predefinita non include una regola per consentire le richieste di ping. Se si prevede di eseguire il ping di un'istanza, vedere Regole per gestire i pacchetti UDP frammentati.

Regole di sicurezza per il traffico IPv6

I gruppi di sicurezza di rete e gli elenchi di sicurezza della VCN supportano sia le IPv4 che le regole di sicurezza IPv6. Ad esempio, un gruppo di sicurezza di rete o una lista di sicurezza possono includere le regole di sicurezza riportate di seguito.

Regola per consentire il traffico SSH dal CIDRIPv4 CIDR IPv4 della rete in locale
Regola per consentire il ping del traffico dal CIDRIPv4 CIDR IPv4 della rete in locale
Regola per consentire il traffico SSH dal prefisso IPv6 della rete in locale
Regola per consentire il ping del traffico dal prefisso IPv6 della rete in locale

La lista di sicurezza predefinita in una VCN abilitata per IPv6 include le regole IPv4 predefinite e le seguenti regole IPv6 predefinite:

In entrata con conservazione dello stato: consentire il traffico TCP IPv6 sulla porta di destinazione 22 (SSH) dall'origine ::/0 e da qualsiasi porta di origine. Questa regola semplifica la creazione di una VCN con una subnet pubblica e un gateway Internet, la creazione di un'istanza Linux, l'aggiunta di una IPv6 abilitata per l'accesso a Internet e la connessione immediata con SSH a tale istanza senza dover scrivere manualmente le regole di sicurezza.

Importante

L'elenco di sicurezza predefinito non include una regola per consentire l'accesso a RDP (Remote Desktop Protocol). Se si utilizzano immagini di Windows, aggiungere una regola di entrata con conservazione dello stato per il traffico TCP sulla porta di destinazione 3389 dall'origine ::/0 e da qualsiasi porta di origine.

Per ulteriori informazioni, vedere Per abilitare l'accesso a RDP.
In entrata con conservazione dello stato: consentire il codice 0 (pacchetto troppo grande) del tipo di traffico ICMPv6 dall'origine ::/0 e da qualsiasi porta di origine. Questa regola consente alle istanze di ricevere messaggi di frammentazione della ricerca automatica MTU del percorso.
Uscita con conservazione dello stato: la scelta di consentire tutto il traffico IPv6 consente alle istanze di avviare il traffico IPv6 di qualsiasi tipo verso qualsiasi destinazione. Si noti che le istanze con un indirizzo IPv6 abilitato per l'accesso a Internet possono comunicare con qualsiasi indirizzo IPv6 Internet se la VCN dispone di un gateway Internet configurato. Inoltre, poiché le regole di sicurezza con conservazione dello stato utilizzano il monitoraggio della connessione, il traffico delle risposte viene automaticamente consentito indipendentemente dalle regole di entrata. Per ulteriori informazioni, vedere Regole con conservazione dello stato e senza conservazione dello stato.

Regole di sicurezza

Se non si ha ancora familiarità con le nozioni di base delle regole di sicurezza, vedere le sezioni riportate di seguito nell'argomento relativo alle regole di sicurezza.