Regras de Segurança
O serviço Networking oferece duas funcionalidades de firewall virtual que usam regras de segurança para controlar o tráfego no nível do pacote. As duas funcionalidades são:
- Listas de segurança: a funcionalidade original de firewall virtual do serviço Networking.
- NSGs (Grupos de Segurança de Rede): Um recurso projetado posteriormente para componentes de aplicativo que têm diferentes posturas de segurança. Os NSGs são suportados somente para serviços específicos.
Essas duas funcionalidades oferecem diferentes maneiras de aplicar regras de segurança a um conjunto de placas de interface de rede virtual (VNICs) na VCN (Virtual Cloud Network).
Este tópico resume as diferenças básicas entre as duas funcionalidades. Ele também explica conceitos importantes de regras de segurança que você precisa entender. A forma como você cria, gerencia e aplica regras de segurança varia entre listas de segurança e grupos de segurança de rede. Para obter detalhes de implementação, consulte estes tópicos relacionados:
Você pode usar o ZPR (Zero Trust Packet Routing) junto com ou no lugar de grupos de segurança de rede para controlar o acesso à rede aos recursos do OCI aplicando atributos de segurança a eles e criando políticas de ZPR para controlar a comunicação entre eles. Para obter mais informações, consulte Roteamento do Pacote de Confiança Zero.
Se um ponto final tiver um atributo de segurança ZPR, o tráfego para o ponto final deverá atender às regras de ZPR e também a todas as regras de NSG e lista de segurança. Por exemplo, se você já estiver usando NSGs e aplicar um atributo de segurança a um ponto final, assim que o atributo for aplicado, todo o tráfego para o ponto final será bloqueado. A partir daí, uma política de ZPR deve permitir o tráfego para o ponto final.
Comparação entre Listas de Segurança e Grupos de Segurança de Rede
As listas de segurança permitem definir um conjunto de regras de segurança que se aplicam a todas as VNICs em uma sub-rede inteira. Para utilizar uma lista de segurança específica com uma sub-rede específica, você associa a lista de segurança à sub-rede durante a criação dessa sub-rede ou após essa. Uma sub-rede pode ser associada com um máximo de cinco listas de segurança. As VNICs criadas nessa sub-rede estão sujeitas às listas de segurança associadas à sub-rede.
Os grupos de segurança da rede (NSGs) permitem que você defina um conjunto de regras de segurança que se aplique a um grupo de VNICs escolhido (ou recursos principais das VNICs, como balanceadores de carga ou sistemas de banco de dados). Por exemplo: as VNICs que pertencem a um conjunto de instâncias de Computação que têm a mesma postura de segurança. Para usar um NSG especificado, você adiciona as VNICs de interesse ao grupo. As VNICs adicionadas a esse grupo estão sujeitas às regras de segurança desse grupo. Uma VNIC pode ser adicionada a um máximo de cinco NSGs.
A tabela a seguir resume as diferenças.
| Ferramenta de segurança | Aplica-se a | Para ativar | Limitações |
|---|---|---|---|
| Listas de segurança | Todas as VNICs em uma sub-rede que usam essa lista de segurança | Associe a lista de segurança à sub-rede | No máximo, cinco listas de segurança por sub-rede |
| Grupos de segurança de rede | VNICs escolhidas na mesma VCN | Adicione VNICs específicas ao NSG | No máximo, cinco NSGs por VNIC |
Recomendamos usar NSGs em vez de listas de segurança porque NSGs permitem que você separe a arquitetura de sub-rede da VCN das exigências de segurança do aplicativo.
Entretanto, você pode usar listas de segurança e NSGs juntos, se quiser. Para obter mais informações, consulte Se Você Usar Listas de Segurança e Grupos de Segurança de Rede.
Sobre VNICs e Recursos Pais
Uma VNIC é um componente de serviço de Rede necessário para um recurso em rede, como uma instância do serviço Compute, para se conectar a uma VCN (Virtual Cloud Network). A VNIC afeta como a instância se conecta com pontos finais dentro e fora da VCN. Cada VNIC reside em uma sub-rede contida em uma VCN.
Quando você cria uma instância do serviço Compute, uma VNIC é criada automaticamente para a instância na sub-rede da instância. A instância é considerada o recurso pai da VNIC. Você pode adicionar mais VNICs (secundárias) a uma instância do serviço Compute. Por esse motivo, as VNICs de uma instância são exibidas proeminentemente como parte dos recursos relacionados de uma instância do serviço Compute na Console.
Outros tipos de recursos pais também resultam na criação automática de uma VNIC. Por exemplo: quando você cria um Balanceador de Carga, o serviço Load Balancer cria automaticamente VNICs para balancear o tráfego entre o conjunto de backend. Além disso, quando você cria um sistema de BD, o serviço Database cria automaticamente VNICs como nós do sistema de BD. Esses serviços criam e gerenciam essas VNICs para você. Por esse motivo, essas VNICs não são tão óbvias na Console da mesma forma como as VNICs são para instâncias de Computação.
Para usar um NSG, você coloca ativamente VNICs no grupo, uma VNIC nunca faz parte de um NSG porque está em uma determinada sub-rede. Entretanto, você normalmente trabalha com o recurso pai quando adiciona uma VNIC ao grupo. Você não trabalha com a VNIC em si. Por exemplo, ao criar uma instância do serviço Compute, você pode especificar um NSG para a instância. Embora você conceitualmente coloque a instância no grupo, você estará colocando a VNIC principal da instância no Grupo de Segurança de Rede. As regras de segurança do grupo se aplicam a essa VNIC, e não à instância. Além disso, se adicionar uma VNIC secundária à instância, você poderá, opcionalmente, especificar um NSG para essa VNIC, e as regras serão aplicadas a essa VNIC, e não à instância. Observe que todas as VNICs em um NSG devem estar na mesma VCN à qual o NSG pertence.
Da mesma forma, quando você coloca um Balanceador de Carga em um grupo da segurança de rede, você coloca conceitualmente o Balanceador de Carga no grupo. Tecnicamente, você está colocando as VNICs gerenciadas pelo serviço Load Balancer no grupo de segurança da rede.
Você gerencia a associação de VNICs a um NSG no recurso pai, e não no próprio NSG. Por exemplo, para adicionar um recurso pai a um NSG, você executa a ação no recurso pai (especificando a quais NSGs o recurso pai é adicionado). Você não executa a ação no NSG (especificando quais VNICs ou recursos pais adicionar ao NSG). Da mesma forma, para remover uma VNIC de um NSG, você executa essa ação atualizando o recurso pai, não o NSG. Por exemplo, para adicionar uma VNIC existente da instância do serviço Compute a um NSG, atualize as propriedades dessa VNIC e especifique o NSG. Por exemplo, com a API REST, você chama o recurso UpdateVnic. Na Console, você exibe a instância, a VNIC de interesse e, em seguida, edita as propriedades da VNIC.
Para obter uma lista de recursos pais que suportam o uso de NSGs, consulte Suporte para Grupos de Segurança de Rede.
Grupo de Segurança de Rede como Origem ou Destino de uma Regra
Uma diferença importante em como você pode gravar regras de segurança para NSGs em comparação com listas de segurança: ao gravar regras para um NSG, você pode especificar um NSG como a origem do tráfego (no caso de regras de entrada) ou o destino do tráfego (no caso de regras de entrada). Compare esse comportamento com as regras de lista de segurança, nas quais você especifica um CIDR como origem ou destino.
A capacidade de especificar um NSG significa que você pode criar facilmente regras para controlar o tráfego entre dois NSGs diferentes. Os NSGs devem estar na mesma VCN.
Além disso, para controlar o tráfego entre VNICs em um NSG específico, você pode gravar regras que especificam o NSG da própria regra como origem (para regras de entrada) ou destino (para regras de saída).
Para obter mais informações, consulte Visão Geral de Grupos de Segurança de Rede.
Diferenças da API REST
O modelo de API REST para NSGs tem algumas diferenças básicas em t em comparação com as listas de segurança. Para obter mais informações, consulte Usando a API.
Regras Padrão
Uma VCN vem automaticamente com uma lista padrão de segurança que contém várias regras de segurança default para ajudá-lo a começar a usar o serviço Networking. Quando você cria uma sub-rede, essa lista é associada à sub-rede, salvo se você especificar uma lista personalizada de segurança já criada na VCN.
Para comparação, a VCN não tem um grupo padrão de segurança da rede.
Limites
As duas funcionalidades têm limites distintos. Consulte Limites de Serviço para obter uma lista de limites e instruções aplicáveis a uma solicitação de aumento de limite.
|
Recurso |
Escopo |
Oracle Universal Credits |
Pay As You Go (Pagamento conforme o uso) ou Trial (Avaliação) |
|---|---|---|---|
| Listas de segurança | VCN | 300 | 300 |
| Listas de segurança | Sub-rede | 5* | 5* |
| Regras de segurança | Lista de segurança |
200 regras de entrada * e 200 regras de saída* |
200 regras de entrada * e 200 regras de saída* |
| * O limite para este recurso não pode ser aumentado | |||
| Recurso | Escopo | Oracle Universal Credits | Pay As You Go (Pagamento conforme o uso) ou Trial (Avaliação) |
|---|---|---|---|
| Grupos de segurança de rede | VCN | 1000 | 1000 |
| VNICs | Grupo de segurança de rede |
Um grupo de segurança de rede específico pode ter tantas VNICs quantas houver na VCN. Uma VNIC específica pode pertencer a um máximo de 5 grupos de segurança de rede.* |
Um grupo de segurança de rede específico pode ter tantas VNICs quantas houver na VCN. Uma VNIC específica pode pertencer a um máximo de 5 grupos de segurança de rede.* |
| Regras de segurança | Grupo de segurança de rede |
120 (total para entrada mais saída) |
120 (total para entrada mais saída) |
| * O limite para este recurso não pode ser aumentado | |||
Melhores Práticas para Regras de Segurança
Usar Grupos de Segurança de Rede
É recomendável usar NSGs para componentes que têm a mesma postura de segurança. Por exemplo, em uma arquitetura de várias camada, você teria um NSG separado para cada camada. Todas as VNICs de uma camada pertenceriam ao NSG da camada. Em uma camada específica, você pode ter um subconjunto específico de VNICs da camada que tenham requisitos especiais de segurança extras. Portanto, você criaria outro NSG para essas regras extras e colocaria esse subconjunto de VNICs no NSG da camada e no NSG extra.
A Oracle também recomenda o uso dos NSGs porque a Oracle prioriza os NSGs em relação às listas de segurança ao implementar aprimoramentos futuros.
Familiarize-se com as Regras de Lista de Segurança Padrão
Uma VCN vem automaticamente com uma lista padrão de segurança que contém várias regras de segurança default para ajudá-lo a começar a usar o serviço Networking. Essas regras existem porque permitem conectividade básica. Mesmo que você não use listas e segurança padrão, familiarize-se com as regras, para que você entenda melhor os tipos de tráfego exigidos pelos recursos de nuvem em rede. Talvez você queira usar essas regras em NSGs ou em quaisquer listas de segurança personalizadas que você configurar.
A lista de segurança padrão não inclui regras para ativar o ping. Se você precisar usar solicitações de ping, consulte Regras para Permitir Solicitações de Ping.
Não Exclua Regras de Segurança Padrão Indiscriminadamente
Uma VCN pode ter sub-redes que usam a lista de segurança padrão por padrão. Não exclua nenhuma das regras de segurança padrão da lista, a menos que você tenha confirmado pela primeira vez que os recursos na VCN não os exigem. Caso contrário, você poderá interromper a conectividade da VCN.
Confirmar se as Regras de Firewall do Sistema Operacional se Alinham com Regras de Segurança
As instâncias de computação que executam imagens da plataforma também têm regras que controlam o acesso à instância. Ao diagnosticar e solucionar problemas do acesso a uma instância, verifique se todos os itens a seguir estão definidos corretamente:
- As regras nos grupos de segurança de rede nos quais a instância está
- As regras nas listas de segurança associadas à sub-rede da instância
- As regras de firewall do sistema operacional da instância
Se uma instância estiver executando o Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, use o firewalld para interagir com as regras do iptables. Para referência, aqui estão comandos para abrir uma porta (1521, neste exemplo):
sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
sudo firewall-cmd --reloadPara instâncias com um volume de inicialização iSCSI, o comando --reload anterior pode causar problemas. Para obter detalhes e uma solução alternativa, consulte O sistema das instâncias congela após a execução de -cmd --reload.
Usar Métricas de VNIC para Diagnosticar e Solucionar Problemas com Pacotes Eliminados por Causa de Regras de Segurança
O serviço de Rede oferece métricas para VNICs, que mostram os níveis de tráfego de VNIC (pacotes e bytes). Duas das métricas se referem a pacotes de entrada e saída que violam as regras de segurança e que, portanto, são eliminados. Você pode usar essas métricas para ajudá-lo a solucionar problemas relacionados a regras de segurança e se as VNICs estão recebendo o tráfego apropriado.
Se Você Usar Listas de Segurança e Grupos de Segurança de Rede
Você pode usar apenas listas de segurança, apenas grupos de segurança de rede ou ambos juntos. Depende das necessidades específicas de segurança.
Se você tiver regras de segurança que deseja aplicar a todas as VNICs em uma VCN: a solução mais fácil é colocar as regras em uma lista de segurança e associar essa lista de segurança a todas as sub-redes da VCN. Dessa forma, você pode garantir que as regras sejam aplicadas, não importando quem crie uma VNIC na VCN. Uma opção é usar a lista de segurança default da VCN, que vem automaticamente com a VCN e contém um conjunto de regras essenciais por padrão.
Se você usar ambas as listas de segurança e os Grupos de Segurança de Rede, o conjunto de regras que se aplica a uma VNIC em particular será a união destes itens:
- As regras de segurança nas listas de segurança associadas à sub-rede da VNIC
- As regras de segurança em todos os NSGs em que a VNIC está
O seguinte diagrama de Venn é uma ilustração da ideia.
A VNIC 1 é abordada pela lista de segurança 1, lista de segurança 2, NSG A e NSG B. Um pacote em questão tem permissão para acessar a VNIC 1 se qualquer regra em qualquer das listas e grupos relevantes permitir o tráfego (ou se o tráfego for parte de uma conexão existente que está sendo rastreada). Uma advertência será se as listas contiverem regras com e sem estado que cubram o mesmo tráfego. Para obter mais informações, consulte Comparado com Monitoramento de Estado com Regras sem Monitoramento de Estado.
Partes de uma Regra de Segurança
Uma regra de segurança permite um tipo específico de tráfego para dentro ou para fora de uma VNIC. Por exemplo, uma regra da segurança comumente usada permite tráfego TCP de entrada da porta 22 para estabelecer conexões SSH com a instância (as VNICs da instância). Sem regras de segurança, não é permitido tráfego para dentro e para fora das VNICs e na VCN.
As regras de segurança não são aplicadas ao tráfego relacionado ao bloco CIDR 169.254.0.0/16. Isso inclui serviços como iSCSI e metadados de instância.
Cada regra de segurança especifica os seguintes itens:
- Direção (entrada ou saída): entrada é o tráfego de entrada na VNIC, e a saída é o tráfego de saída da VNIC. O modelo de API REST para listas de segurança é diferente do modelo para grupos de segurança de rede. As listas de segurança têm um objeto de
IngressSecurityRulee um objeto deEgressSecurityRuleseparado. Os grupos da segurança de rede têm somente um objetoSecurityRule, e o atributodirectiondo objeto mostra se a regra é para tráfego de entrada ou saída. - Com ou sem monitoramento de estado: se a opção com monitoramento de estado for usada, o rastreamento de conexões será usado para o tráfego correspondente à regra. Se a opção sem monitoramento de estado for selecionada, o rastreamento de conexões não será usado. Consulte Comparado com Estatísticas com Regras sem Monitoramento de Estado.
-
Tipo de origem e origem (somente regras de entrada): a origem fornecida para uma regra de entrada depende do tipo de origem selecionado.
Tipos de origem permitidosTipo de Origem Origem Permitida CIDR O bloco CIDR onde o tráfego tem origem. Use 0.0.0.0/0 para indicar todos os endereços IP. O prefixo é obrigatório (por exemplo, inclua /32 se estiver especificando um endereço IP individual). Para obter mais informações sobre notação CIDR, consulte RFC1817 e RFC1519. Grupo de Segurança de Rede Um NSG na mesma VCN que este NSG de regra.
Este tipo de origem só estará disponível se a regra pertencer a um NSG, e não a uma lista de segurança.
Serviço Somente para pacotes provenientes de um serviço Oracle por meio de um gateway de serviço. Se um gateway de serviço não estiver presente em uma VCN, o tráfego proveniente do IP público de um ponto final do OSN poderá ser roteado para uma VCN por meio de um gateway NAT ou de um gateway de internet. O tráfego ainda atravessa o backbone do OCI para a VCN.
O serviço de origem é o label do CIDR de serviço no qual você está interessado.
-
Tipo de destino e destino (somente regras de saída): O destino que você fornece para uma regra egress depende do tipo de destino selecionado.
Tipos de destino permitidosTipo de Destino Destino Permitido CIDR O bloco CIDR para o qual o tráfego se destina. Use 0.0.0.0/0 para indicar todos os endereços IP. O prefixo é obrigatório (por exemplo, inclua /32 se estiver especificando um endereço IP individual). Para obter mais informações sobre notação CIDR, consulte RFC1817 e RFC1519. Grupo de Segurança de Rede Um NSG na mesma VCN do NSG desta regra.
Este tipo de destino só estará disponível se a regra pertencer a um NSG, e não a uma lista de segurança.
Serviço Somente para pacotes que vão para um serviço Oracle (como o Object Storage) por meio do gateway de serviços. Se um gateway de serviço não estiver presente em uma VCN, o tráfego destinado ao IP público de um ponto de extremidade do OSN pode ser roteado ao OSN por um gateway NAT ou um gateway de internet. O roteamento por meio de um gateway do serviço permite selecionar para quais pontos finais do Oracle Services Network (OSN) você deseja rotear o tráfego (selecione entre Somente Object Storage ou Todos os Serviços).
O serviço de destino é o label do CIDR de serviço do OSN no qual você está interessado.
- Protocolo IP: um único protocolo IPv4 ou "todos" para abranger todos os protocolos.
- Porta de origem: a porta onde o tráfego tem origem. Para TCP ou UDP, você pode especificar todas as portas de origem ou, opcionalmente, pode especificar um único número de porta de origem ou um intervalo.
- Porta de destino: a porta para a qual o tráfego é destinado. Para TCP ou UDP, você pode especificar todas as portas de destino ou, opcionalmente, pode especificar um único número de porta de destino ou um intervalo.
- Tipo e código ICMMP: Para ICMP, você pode especificar todos os tipos e códigos ou, opcionalmente, especificar um único tipo ICMMP com um código opcional. Se o tipo tiver diversos códigos, crie uma regra separada para cada código que você deseja permitir.
- Descrição (somente regras NSG): as regras de segurança NSG incluem um atributo opcional no qual você pode fornecer uma descrição amigável da regra. Isso não é suportado para regras de lista de segurança.
Para obter exemplos de regras de segurança, consulte Cenários do Serviço Networking.
Para obter o limite do número de regras que você pode ter, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
Se você estiver usando NSGs e duas VNICs que estão na mesma VCN precisarem se comunicar usando seus respectivos endereços IP públicos, será necessário usar o endereço IP público da VNIC e não o NSG da VNIC como origem (para entrada) ou destino (para saída) nas regras de segurança relevantes. O pacote é roteado para o gateway de internet da VCN e, nesse ponto, as informações do NSG da VNIC não estão disponíveis Portanto, uma regra de segurança que especifica o NSG como a origem ou o destino é ineficaz em permitir esse tipo específico de tráfego.
Com Monitoramento de Estado em Comparação com Regras sem Monitoramento de Estado
Ao criar uma regra de segurança, você seleciona se é sem monitoramento de estado ou sem monitoramento de estado. A diferença é descrita nas seções a seguir. O padrão é com monitoramento de estado. As regras sem monitoramento de estado são recomendadas quando você tem um site de alto volume voltado para internet (para tráfego HTTP/HTTPS).
Esta seção refere-se às instâncias de Computação e seu tráfego. No entanto, a discussão é aplicável a todos os tipos de recursos com VNICs. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
Regras com Monitoramento de Estado
Marcar uma regra de segurança para ter monitoramento de estado indica que você deseja usar o rastreamento de conexões para qualquer tráfego que corresponda a essa regra. Isso significa que quando uma instância recebe tráfego correspondente à regra de entrada com monitoramento de estado, a resposta é rastreada e automaticamente permitida para o host de origem, independentemente das regras de saída aplicáveis à instância. E quando uma instância envia um tráfego correspondente a uma regra de saída com monitoramento de estado, a resposta recebida é automaticamente permitida, independentemente das regras de entrada.
Por exemplo, pode haver uma regra de segurança de entrada com monitoramento de estado para uma instância (A) que precisa receber e responder ao tráfego HTTP do Host B. O host B pode ser qualquer host, independentemente de ser ou não uma instância. A Instância A e o Host B estão se comunicando porque a regra de entrada com monitoramento de estado só permite o tráfego de qualquer endereço IP de origem (0.0.0.0/0) para a porta de destino 80 (protocolo TCP). Nenhuma regra de saída é necessária para permitir o tráfego de resposta porque as respostas são rastreadas e permitidas automaticamente.
As regras com monitoramento de estado armazenam informações em uma tabela de rastreamento de conexão em cada instância do serviço Compute. O tamanho dessa tabela é específico da forma de Computação que está sendo usada (consulte a página de limites de serviço para Rastreamento de Conexão). Quando a tabela de rastreamento de conexão estiver cheia, não será possível adicionar novas informações de estado e novas conexões sofrerão perda de pacote. O uso de uma forma de Computação maior permite que você tenha uma tabela maior, mas isso pode não ser suficiente para evitar a perda de pacotes ao usar regras com monitoramento de estado.
Se uma sub-rede tiver um alto volume de tráfego, recomendamos o uso de regras sem monitoramento de estado em vez de regras com monitoramento de estado.
Regras sem Monitoramento de Estado
A próxima figura mostra a Instância A e o Host B como anteriormente, mas agora com regras de segurança sem monitoramento de estado. Assim como a regra com monitoramento de estado mostrada na seção anterior, a regra de entrada sem monitoramento de estado permite o tráfego proveniente de todos os endereços IP e de todas as portas somente na porta de destino 80 (usando o protocolo TCP). Para que seja possível permitir o tráfego de resposta, deverá haver uma regra de saída sem monitoramento de estado correspondente que permita o tráfego entre qualquer endereço IP de destino (0.0.0.0/0) e todas as portas. No entanto, somente o tráfego proveniente da porta de origem 80 (usando o protocolo TCP) será permitido.
Se a Instância A precisar, em vez disso, iniciar o tráfego HTTP e obter a resposta, então será necessário um conjunto diferente de regras sem monitoramento de status. Como mostra a próxima figura, a regra de saída teria a porta de origem = todas e a porta de destino = 80 (HTTP). A regra de entrada teria a porta de origem 80 e a porta de destino = todas.
Se fosse usar o binding de portas na Instância A para especificar exatamente de qual porta o tráfego HTTP deveria vir, você poderia especificar essa porta como porta de origem na regra de saída e como porta de destino na regra de entrada.
Se, por algum motivo, você usar regras com e sem monitoramento do estado e algum tráfego corresponder a uma regra com e sem monitoramento do estado em uma direção específica (por exemplo, entrada), a regra sem monitoramento do estado terá precedência e a conexão não poderá ser rastreada. Você precisaria de uma regra correspondente na outra direção (por exemplo, saída, com ou sem monitoramento de estado) para que o tráfego de resposta fosse permitido.
Detalhes do Rastreamento de Conexões para Regras com Monitoramento de Estado
A Oracle usa o rastreamento de conexão para permitir respostas para tráfego que corresponda a regras com monitoramento do estado (consulte Regras com Monitoramento de Estado Comparado a Sem Monitoramento de Estado). Cada instância tem um número máximo de conexões simultâneas que pode ser rastreado, com base na forma da instância.
Para decidir o tráfego de resposta para TCP, UDP e ICMP, a Oracle executa o rastreamento de conexão nestes itens para o pacote:
- Protocolo
- Endereços IP de origem e de destino
- Portas de origem e de destino (somente para TCP e UDP)
Para outros protocolos, o sistema Oracle rastreia somente o protocolo e os endereços IP, e não as portas. Isso significa que quando uma instância iniciar o tráfego para outro host e esse tráfego for permitido por regras da segurança da saída, qualquer tráfego que a instância receber mais tarde desse host por um período será considerado tráfego de resposta e será permitido.
As conexões rastreadas são mantidas enquanto o tráfego é recebido para a conexão. Se uma conexão permanecer ociosa o suficiente, ela expirará e será removida. Depois que a conexão é removida, as respostas para uma regra de segurança com monitoramento de estado são eliminadas. A tabela a seguir mostra os timeouts padrão por inatividade:
| Protocolo | Estado | Timeout por inatividade |
|---|---|---|
| TCP | Estabelecido | 1 dia |
| TCP | Configuração | 1 minuto |
| TCP | Fechamento | 2 minutos |
| UDP | Estabelecido (isso significa que um pacote foi recebido em ambas as direções) | 3 minutos |
| UDP | Não estabelecido (pacote recebido apenas em uma direção) | 30 segundos |
| ICMP | NÃO APLICÁVEL | 15 segundos |
| Outro | NÃO APLICÁVEL | 5 minutos |
Ativando Mensagens do Path MTU Discovery para Regras sem Monitoramento de Estado
Se você decidir usar regras de segurança sem monitoramento de estado para permitir o tráfego de/para pontos finais fora da VCN, será importante adicionar uma regra de segurança que permita tráfego de entrada do tipo 3 código 4 proveniente da origem 0.0.0.0/0 e de qualquer porta de origem. Esta regra permite que as instâncias de Computação recebam mensagens de fragmentação de Descoberta de MTU do Caminho. Esta regra é crítica para estabelecer uma conexão com instâncias. Sem ela, você pode ter problemas de conectividade. Para obter mais informações, consulte Conexão Pendente.
Regras para Ativar Ping
A lista de segurança padrão da VCN contém diversas regras padrão, mas não tem uma regra para permitir solicitações de ping. Para fazer ping de uma instância, verifique se as listas de segurança aplicáveis ou os NSGs da instância incluem uma regra extra de entrada com monitoramento do estado para permitir o tráfego ICMP do tipo 8 na rede da origem na qual você planeja fazer ping. Para permitir acesso por ping proveniente da internet, use 0.0.0.0/0 como origem. Observe que essa regra para ping é separada das regras relacionadas a ICMP padrão na lista de segurança padrão. Não remova essas regras.
Regras para Tratar Pacotes UDP Fragmentados
As instâncias podem enviar ou receber tráfego UDP. Se um packet UDP for muito grande para a conexão, ele ficará fragmentado. No entanto, somente o primeiro fragmento do pacote contém as informações sobre protocolo e porta. Se as regras de segurança que permitem esse tráfego de entrada ou saída determinarem um número de porta específico (origem ou destino), os fragmentos após o primeiro serão eliminados. Se você espera que as instâncias do serviço Compute enviem ou recebam pacotes UDP grandes, defina as portas de origem e de destino para as regras aplicáveis de segurança como ALL (em vez de um número específico de porta).