Documentação do Oracle Cloud Infrastructure

Listas de Segurança

O serviço Networking oferece duas recursos virtuais de firewall para controlar o tráfego no nível do pacote:

  • Listas de segurança: detalhes neste tópico. Este é o tipo original de firewall virtual oferecido pelo serviço Networking.
  • Grupos do serviço Network Security: Outro tipo de firewall virtual que recomendamos em listas de segurança. Consulte Grupos de Segurança de Rede.

Essas duas funcionalidades usam regras de segurança. Para obter informações importantes sobre como as regras de segurança funcionam e verificar uma comparação geral entre listas de segurança e grupos de segurança de rede, consulte Regras de Segurança.

Destaques

  • As listas de segurança atuam como firewalls virtuais para instâncias do serviço Compute e outros tipos de recursos. Uma lista de segurança consiste em um conjunto de regras de segurança de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede à qual a lista de segurança está associada. Isso significa que todas as VNICs de uma sub-rede específica estão sujeitas ao mesmo conjunto de listas de segurança. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
  • As regras de lista de segurança funcionam da mesma forma que as regras de grupo de segurança de rede. Para obter uma discussão dos parâmetros de regra, consulte Partes de uma Regra de Segurança.
  • Cada VCN vem com uma lista de segurança padrão que tem várias regras padrão para tráfego essencial. Se você não especificar uma lista de segurança personalizada para uma sub-rede, a lista de segurança padrão será usada automaticamente com essa sub-rede. Você pode adicionar e remover regras da lista de segurança padrão.
  • Em comparação com os grupos de segurança de rede, as listas de segurança têm limites separados e específicos. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

Visão Geral das Listas de Segurança

Uma lista de segurança atua como um firewall virtual para uma instância, com regras de entrada e saída que especificam os tipos de tráfego de entrada e saída permitidos. Cada lista de segurança é aplicada no nível da VNIC. Entretanto, você configura listas de segurança no nível de sub-rede, o que significa que todas as VNICs de uma sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. As listas se aplicam a uma VNIC específica, quer ela esteja se comunicando com outra instância na VCN ou um host fora da VCN.

Cada sub-rede pode ter diversas listas de segurança associadas, e cada lista pode ter diversas regras (para o número máximo, consulte Comparação de Listas de Segurança e Grupos do Serviço Network Security). Um pacote em questão será permitido se qualquer regra em qualquer lista permitir o tráfego (ou se o tráfego for parte de uma conexão existente que está sendo rastreada), a menos que as listas contenham regras com e sem monitoramento de estado que cobrem o mesmo tráfego. Para obter mais informações, consulte Comparado com Monitoramento de Estado com Regras sem Monitoramento de Estado.

As listas de segurança são entidades regionais. Para obter os limites relacionados às listas de segurança, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

As listas de segurança podem controlar tráfego IPv4 e IPv6. Há suporte para o endereçamento IPv6 e as regras relacionadas de lista de segurança em todas as regiões comerciais e do governo. Para obter mais informações, consulte Endereços IPv6.

Consulte Limites da Lista de Segurança e Solicitando um Aumento do Limite do Serviço para obter informações relacionadas a limites.

Lista de Segurança Padrão

Diferentemente de outras listas, a lista padrão de segurança vem com um conjunto inicial de regras de monitoramento de estado. Recomendamos alterar essas regras para permitir apenas o tráfego de entrada de sub-redes autorizadas relevantes para a região que abriga essa VCN ou sub-rede. Uma lista de faixas de sub-redes autorizadas relevantes para cada região pode ser encontrada em https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Entrada com estado: Permita o tráfego TCP na porta de destino 22 (SSH) por meio de endereços IP e qualquer porta de origem autorizados. Essa regra facilita a criação de uma nova rede na nuvem e sub-rede pública, a criação de uma instância Linux e, em seguida, o uso imediato do SSH para estabelecer conexão com a instância sem a necessidade de criar você mesmo qualquer regra de lista.

    Importante

    A lista padrão de segurança não inclui uma regra para permitir o acesso ao RDP (Remote Desktop Protocol). Se você estiver usando imagens do windows, certifique-se que você adicione uma regra do estado de entrada para o tráfego TCP na porta 3389 de destino com base em endereços IP autorizados de origem e em qualquer porta-fonte.

    Consulte Para ativar o acesso RDP para obter mais informações.

  • Entrada com estado: Permita que o tráfego ICMP tipo 3 código 4 seja proveniente de endereços IP autorizados de origem. Esta regra permite que as instâncias de Computação recebam mensagens de fragmentação de Descoberta de MTU do Caminho.
  • Entrada com estado: Permita o tráfego ICMP tipo 3 (Todos os códigos) do bloco CIDR da VCN. Essa regra facilita para as instâncias do serviço Compute receberem mensagens de erro da conectividade de outras instâncias dentro da VCN.
  • Saída com monitoramento de estado: para permitir todos os tipos de tráfego. Isso permite que as instâncias iniciem o tráfego de qualquer tipo para qualquer destino. Observe que isso significa que as instâncias com endereços IP públicos podem se comunicar com qualquer endereço IP da internet, se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada. Para obter mais informações, consulte Comparado com Monitoramento de Estado com Regras sem Monitoramento de Estado.

A lista de segurança padrão não tem regras sem monitoramento de estado. No entanto, você sempre pode adicionar ou remover regras da lista de segurança padrão.

Se a VCN estiver ativada para endereçamento IPv6, a lista padrão de segurança conterá algumas regras padrão para o tráfego IPv6. Para obter mais informações, consulte Regras de Segurança para Tráfego IPv6.

Permitindo a Execução de Ping

A Lista de Segurança Padrão não inclui uma regra para permitir solicitações de ping. Se você planeja executar ping em uma instância, consulte Regras para Tratar Pacotes UDP Fragmentados.

Regras de Segurança para Tráfego IPv6

Os grupos de segurança de rede e as listas de segurança da VCN suportam as regras de segurança IPv4 e IPv6. Por exemplo, um grupo de segurança de rede ou uma lista de segurança pode ter estas regras de segurança:

  • Regra para permitir tráfego SSH proveniente do CIDR IPv4 da rede local
  • Regra para permitir tráfego de ping proveniente do CIDR IPv4 da rede local
  • Regra para permitir tráfego SSH proveniente do prefixo IPv6 da rede on-premises
  • Regra para permitir tráfego de ping proveniente do prefixo IPv6 da rede on-premises

A lista de segurança padrão em uma VCN ativada para IPv6 inclui regras IPv4 padrão e as seguintes regras IPv6 padrão:

  • Entrada com monitoramento de estado: para permitir tráfego TCP IPv6 na porta de destino 22 (SSH) proveniente da origem ::/0 e de qualquer porta de origem. Essa regra facilita criar uma VCN com uma sub-rede pública e um gateway de internet, criar uma instância do Linux, adicionar um IPv6 ativado para acesso à internet e, em seguida, conectar imediatamente com SSH a essa instância sem precisar criar você mesmo qualquer regra de segurança.

    Importante

    A lista de segurança padrão não inclui uma regra para permitir acesso RDP ( Remote Desktop Protocol). Se você estiver usando imagens do Windows, adicione uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 proveniente da origem ::/0 e de qualquer porta de origem.

    Consulte Para ativar o acesso RDP para obter mais informações.

  • Entrada com monitoramento de estado: para permitir tráfego ICMPv6 do tipo 2 código 0 (Pacote Muito Grande) proveniente da origem :/0 e de qualquer porta de origem. Essa regra permite que as instâncias recebam mensagens de fragmentação da Descoberta de MTU do Caminho.
  • Saída de monitoramento com monitoramento de dados: A opção de permitir todo tráfego IPv6 permite que as instâncias iniciem tráfego IPv6 de qualquer tipo para qualquer destino. Observe que as instâncias com um IPv6 ativado para acesso à internet poderão se comunicar com qualquer endereço IPv6 de internet se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada. Para obter mais informações, consulte Comparado com Monitoramento de Estado com Regras sem Monitoramento de Estado.