数据库系统的安全规则

本文列出了数据库系统要使用的安全规则。安全规则控制数据库系统计算节点内外允许的流量类型。规则分为两部分。

有关安全规则的详细信息,请参阅安全规则。有关实施这些规则的不同方法的详细信息,请参阅实施安全规则的方法

注意:

运行 Oracle 提供的数据库系统映像的实例还具有用于控制实例访问权限的防火墙规则。确保实例的安全规则和防火墙规则都设置正确。另请参见数据库系统上的打开端口

相关主题

基本连接所需的一般规则

以下部分提供了一些常规规则,可用于为 VCN 中的主机建立基本连接。

如果使用安全列表实施安全规则,请注意,默认安全列表中默认包含以下规则。更新或替换列表以满足您的特定安全需求。为了在 Oracle Cloud Infrastructure 环境中正常运行网络流量,需要使用两条 ICMP 规则(一般入站规则 2 和 3)。调整常规入站规则 1(SSH 规则)和常规出站规则 1,以仅允许需要与 VCN 中的资源通信的主机与主机之间的通信。

有关默认安全列表的更多信息,请参阅安全列表

一般入站规则 1:允许来自任何位置的 SSH 流量

  • 无状态:否(所有规则都必须有状态)
  • 源类型: CIDR
  • 来源 CIDR:0.0.0.0/0 (IPv4)、 ::/0 (IPv6)
  • IP 协议: TCP
  • Source Port Range(源端口范围):全部
  • 目的地端口范围: 22

注意:

仅当要使用 IPv6 地址连接到 SSH 时,才需要 IPv6 CIDR。

一般入站规则 2:允许路径 MTU 搜索碎片化消息

此规则允许 VCN 中的主机接收路径 MTU 搜索碎片消息。如果无法访问这些消息,VCN 中的主机在与 VCN 之外的主机通信时可能会出现问题。

  • 无状态:否(所有规则都必须有状态)
  • 源类型: CIDR
  • 来源 CIDR:0.0.0.0/0 (IPv4)、 ::/0 (IPv6)
  • IP 协议: ICMP
  • 类型: 3
  • 代码: 4。

一般入站规则 3:允许 VCN 中的连接错误消息

此规则允许 VCN 中的主机相互接收连接错误消息。

  • 无状态:否(所有规则都必须有状态)
  • 源类型: CIDR
  • 源 CIDR:VCN 的 CIDR
  • IP 协议: ICMP
  • 类型:全部
  • 代码:全部

一般出站规则 1:允许所有出站流量

  • 无状态:否(所有规则都必须有状态)
  • 目标类型: CIDR
  • 目标 CIDR:0.0.0.0/0 (IPv4)、 ::/0 (IPv6)
  • IP 协议:全部

注意:

  • 只有传出到 IPv6 网络的通信需要 IPv6 目标 CIDR。
  • 可以限制目标 CIDR。

定制安全规则

以下规则是数据库系统功能所必需的。

注意:

定制入站规则 1 和 2 仅涵盖从 VCN 内发起的连接。如果您的客户端位于VCN 外部,Oracle 建议设置两个其他类似规则,而将源 CIDR 设置为客户端的公共 IP 地址。

自定义入站规则 1:允许来自 VCN 的 ONS 和 FAN 流量

建议使用此规则,并使 Oracle Notification Services (ONS) 能够就快速应用程序通知 (FAN) 事件进行通信。

  • 无状态:否(所有规则都必须有状态)
  • 源类型: CIDR
  • 源 CIDR:您的 IPv4 和 IPv6 VCN 的 CIDR
  • IP 协议: TCP
  • Source Port Range(源端口范围):全部
  • 目的地端口范围 6200
  • 说明:规则的可选说明。

自定义入站规则 2:允许来自 VCN 的 SQL*NET 流量

此规则适用于 SQL*NET 流量,仅当需要启用与数据库的客户端连接时才需要此规则。

  • 无状态:否(所有规则都必须有状态)
  • 源类型: CIDR
  • 源 CIDR:您的 IPv4 和 IPv6 VCN 的 CIDR
  • IP 协议: TCP
  • Source Port Range(源端口范围):全部
  • 目的地端口范围 1521
  • 说明:规则的可选说明。

自定义出站规则 1:允许出站 SSH 访问

此规则支持在双节点数据库系统中的节点之间通过 SSH 访问。它与 General Rules Required for Basic Connectivity (以及默认安全列表中)中的常规出站规则是冗余的。这是可选的,但建议在常规规则(或默认安全列表)无意中发生更改时使用。

  • 无状态:否(所有规则都必须有状态)
  • 目标类型: CIDR
  • 目标 CIDR:0.0.0.0/0 (IPv4)、 ::/0 (IPv6)
  • IP 协议: TCP
  • Source Port Range(源端口范围):全部
  • 目的地端口范围: 22
  • 说明:规则的可选说明。

自定义出站规则 2:允许访问 Oracle 服务网络

此规则使数据库系统能够与 Oracle 服务(对于具有互联网网关的公共子网)或与包括所有 Oracle 服务(对于具有服务网关的专用子网)在内的 Oracle 服务网络进行通信。它与 General Rules Required for Basic Connectivity (以及默认安全列表中)中的常规出站规则是冗余的。这是可选的,但建议在常规规则(或默认安全列表)无意中发生更改时使用。OCI 服务仅与 IPv4 通信。

  • 无状态:否(所有规则都必须有状态)
  • 目标类型:服务
  • 目标服务:
    • 使用 IPv4 公共子网(具有 Internet 网关)时,请使用 CIDR 0.0.0.0/0
    • 使用 IPv4 专用子网(具有服务网关)时,请使用名为Oracle 服务网络中的所有 <region> 服务的 CIDR 标签
  • IP 协议: TCP
  • Source Port Range(源端口范围):全部
  • 目标端口范围: 443 (HTTPS)
  • 说明:规则的可选说明。

有关联网的更多信息,请参见 Networking Overview

实施安全规则的方法

网络服务提供了两种在 VCN 中实施安全规则的方法:

有关安全列表和网络安全组的比较,请参见 Security Rules

使用网络安全组

如果选择使用网络安全组 (NSG),建议使用以下过程:

  1. 为数据库系统创建网络安全组。将以下安全规则添加到该 NSG:
    • General Rules Required for Basic Connectivity 中列出的规则。
    • Custom Security Rules 中列出的规则。
  2. 数据库管理员创建数据库系统时,必须选择多个网络组件(例如,要使用的 VCN 和子网)。他们还可以选择要使用的 NSG 或 NSG。确保他们选择您创建的 NSG。

您可以改为为一般规则创建一个 NSG,为定制规则创建一个单独的 NSG。然后,当数据库管理员选择要用于数据库系统的 NSG 时,请确保同时选择两个 NSG。

使用安全列表

如果选择使用安全列表,建议使用以下过程:

  1. 将子网配置为使用所需的安全规则:
    1. 为子网创建定制安全列表并添加定制安全规则中列出的规则。
    2. 将以下两个安全列表与子网关联:
      • VCN 的默认安全列表及其所有默认规则。这会自动提供 VCN。
      • 您为子网创建的新定制安全列表
  2. 以后,当数据库管理员创建数据库系统时,他们必须选择多个网络组件。当他们选择您已创建并配置的子网时,将自动为在子网中创建的计算节点强制执行安全规则。

注意:

请勿从默认安全列表中删除默认出站规则。如果这样做,请确保在子网的定制安全列表中包含以下替换出站规则:
  • 无状态:否(所有规则都必须有状态)
  • 目标类型: CIDR
  • 目标 CIDR:0.0.0.0/0
  • IP 协议:全部