Listas de Segurança

O serviço Networking oferece duas recursos virtuais de firewall para controlar o tráfego no nível do pacote:

  • Listas de segurança: detalhes neste tópico. Este é o tipo original de firewall virtual oferecido pelo serviço Networking.
  • Grupos de segurança de rede: outro tipo de firewall virtual que a Oracle recomenda em listas de segurança. Consulte Grupos de Segurança de Rede.

Essas duas funcionalidades usam regras de segurança. Para obter informações importantes sobre como as regras de segurança funcionam e verificar uma comparação geral entre listas de segurança e grupos de segurança de rede, consulte Regras de Segurança.

Destaques

  • As listas de segurança agem como firewalls virtuais para as instâncias de computação e para outros tipos de recursos. Uma lista de segurança consiste em um conjunto de regras de segurança de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede à qual a lista de segurança está associada. Isso significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
  • As regras de lista de segurança funcionam da mesma forma que as regras de grupo de segurança de rede. Para obter uma discussão dos parâmetros de regra, consulte Partes de uma Regra de Segurança.
  • Cada VCN vem com uma lista de segurança padrão que tem várias regras padrão para tráfego essencial. Se você não especificar uma lista de segurança personalizada para uma sub-rede, a lista de segurança padrão será usada automaticamente com essa sub-rede. Você pode adicionar e remover regras da lista de segurança padrão.
  • Em comparação com os grupos de segurança de rede, as listas de segurança têm limites separados e específicos. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

Visão Geral das Listas de Segurança

Uma lista de segurança atua como um firewall virtual para uma instância, com regras de entrada e saída que especificam os tipos de tráfego de entrada e saída permitidos. Cada lista de segurança é aplicada no nível da VNIC. Entretanto, você configura as suas listas de segurança no nível da sub-rede. Isso significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. As listas de segurança se aplicam a determinada VNIC se ela estiver se comunicando com outra instância na VCN ou com um host fora da VCN.

Cada sub-rede pode ter várias listas de segurança associadas a ela e cada lista pode ter várias regras (para obter o número máximo, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede). Um pacote será permitido se qualquer regra em qualquer uma das listas possibilitar o tráfego (ou se o tráfego fizer parte de uma conexão existente que está sendo rastreada). Haverá uma limitação se as listas contiverem regras com e sem monitoramento de estado que abranjam o mesmo tráfego. Para obter mais informações, consulte Regras com e sem Monitoramento de Estado.

As listas de segurança são entidades regionais. Para obter os limites relacionados às listas de segurança, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

As listas de segurança podem controlar tráfego IPv4 e IPv6. Há suporte para o endereçamento IPv6 e as regras relacionadas de lista de segurança em todas as regiões comerciais e do governo. Para obter mais informações, consulte Endereços IPv6.

Consulte Limites da Lista de Segurança e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Lista de Segurança Padrão

Ao contrário de outras listas de segurança, a lista de segurança padrão vem com um conjunto inicial de regras com monitoramento de estado, que na maioria dos casos devem ser alteradas para só permitir tráfego de entrada de sub-redes autorizadas relevantes para a região que hospeda essa VCN ou sub-rede. Uma lista de faixas de sub-redes autorizadas relevantes para cada região pode ser encontrada em https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Entrada com monitoramento de estado: para permitir tráfego TCP na porta de destino 22 (SSH) proveniente de endereços IP de origem autorizados e de qualquer porta de origem. Essa regra permite que você facilmente crie uma nova rede na nuvem e de uma sub-rede pública, inicie uma instância do Linux e use imediatamente o SSH para se conectar com essa instância sem que seja necessário criar regras de lista de segurança.

    Importante

    A lista de segurança padrão não inclui uma regra para permitir acesso RDP ( Remote Desktop Protocol). Se você estiver usando imagens do Windows, certifique-se de adicionar uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 proveniente de endereços IP de origem autorizados e de qualquer porta de origem.

    Consulte Para ativar o acesso RDP para obter mais informações.

  • Entrada com monitoramento de estado: para permitir tráfego ICMP do tipo 3 código 4 proveniente de endereços IP de origem autorizados. Essa regra permite que as suas instâncias recebam mensagens de fragmentação PMTU (Path MTU Discovery).
  • Entrada com monitoramento de estado: para permitir tráfego ICMP do tipo 3 (todos os códigos) proveniente do bloco CIDR da sua VCN. Esta regra facilita o recebimento de mensagens de erro de conectividade de outras instâncias dentro da VCN.
  • Saída com monitoramento de estado: para permitir todos os tipos de tráfego. Isso permite que as instâncias iniciem um tráfego de qualquer tipo para qualquer destino. Observe que isso significa que as instâncias com endereços IP públicos podem se comunicar com qualquer endereço IP da internet, se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada. Para obter mais informações, consulte Regras com e sem Monitoramento de Estado.

A lista de segurança padrão não tem regras sem monitoramento de estado. No entanto, você sempre pode adicionar ou remover regras da lista de segurança padrão.

Se a sua VCN estiver ativada para endereços IPv6, a lista de segurança padrão conterá algumas regras padrão para tráfego IPv6. Para obter mais informações, consulte Regras de Segurança para Tráfego IPv6.

Permitindo a Execução de Ping

A lista de segurança padrão não inclui uma regra para permitir solicitações de ping. Se você planeja executar ping em uma instância, consulte Regras para Tratar Pacotes UDP Fragmentados.

Regras de Segurança para Tráfego IPv6

Assim como as tabelas de roteamento, os grupos de segurança de rede e as listas de segurança da VCN suportam IPv4 e IPv6 regras de segurança. Por exemplo, um grupo de segurança de rede ou uma lista de segurança pode ter estas regras de segurança:

  • Regra para permitir tráfego SSH proveniente do CIDR IPv4 da rede local
  • Regra para permitir tráfego de ping proveniente do CIDR IPv4 da rede local
  • Regra para permitir tráfego SSH proveniente do prefixo IPv6 da rede on-premises
  • Regra para permitir tráfego de ping proveniente do prefixo IPv6 da rede on-premises

A lista de segurança padrão em uma VCN ativada para IPv6 inclui regras IPv4 padrão e as seguintes regras IPv6 padrão:

  • Entrada com monitoramento de estado: para permitir tráfego TCP IPv6 na porta de destino 22 (SSH) proveniente da origem ::/0 e de qualquer porta de origem. Essa regra facilita criar uma VCN com uma sub-rede pública e um gateway de internet, criar uma instância do Linux, adicionar um IPv6 ativado para acesso à internet e, em seguida, conectar imediatamente com SSH a essa instância sem precisar criar você mesmo qualquer regra de segurança.

    Importante

    A lista de segurança padrão não inclui uma regra para permitir acesso RDP (Remote Desktop Protocol). Se você estiver usando imagens do Windows, adicione uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 proveniente da origem ::/0 e de qualquer porta de origem.

    Consulte Para ativar o acesso RDP para obter mais informações.

  • Entrada com monitoramento de estado: para permitir tráfego ICMPv6 do tipo 2 código 0 (Pacote Muito Grande) proveniente da origem :/0 e de qualquer porta de origem. Essa regra permite que as suas instâncias recebam mensagens de fragmentação PMTU (Path MTU Discovery).
  • Saída com monitoramento de estado: A escolha de permitir todo o tráfego IPv6 permite que as instâncias iniciem o tráfego IPv6 de qualquer tipo para qualquer destino. Observe que as instâncias com um IPv6 ativado para acesso à internet poderão se comunicar com qualquer endereço IPv6 de internet se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada. Para obter mais informações, consulte Regras com e sem Monitoramento de Estado.