資料庫系統的安全規則

本文列出與資料庫系統搭配使用的安全規則。安全規則會控制允許進出資料庫系統運算節點的流量類型。這些規則分為兩個區段。

如需安全性規則的詳細資訊,請參閱安全性規則。如需有關實作這些規則之不同方式的詳細資訊,請參閱 Ways to Implement the Security Rules

附註:

您執行 Oracle 提供之資料庫系統映像檔的執行處理也有防火牆規則,可用來控制對執行處理的存取。請確定已正確設定執行處理的安全規則和防火牆規則。另請參閱資料庫系統上的開啟連接埠

相關主題

基本連線所需的一般規則

下列各節有數個一般規則,可為 VCN 中的主機啟用基本連線。

如果您使用安全清單來實行安全規則,請注意預設安全清單中預設會包括下列規則。請更新或取代此清單,以滿足您的特定安全需求。需要兩個 ICMP 規則 (一般輸入規則 2 和 3),才能在 Oracle Cloud Infrastructure 環境內正確運作網路流量。調整一般傳入規則 1 (SSH 規則) 和一般傳出規則 1,以只允許需要與您 VCN 中資源通訊之主機的流量。

如需預設安全清單的詳細資訊,請參閱安全清單

一般傳入規則 1:允許來自任何位置的 SSH 流量

  • 無狀態:否 (所有規則都必須有狀態)
  • 來源類型: CIDR
  • 來源 CIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IP 協定:TCP
  • 來源連接埠範圍:全部
  • 目的地連接埠範圍: 22

附註:

若要使用 IPv6 位址連線至 SSH,才需要使用 IPv6 CIDR。

一般傳入規則 2:允許路徑 MTU 尋找片段訊息

此規則可讓 VCN 中的主機接收「路徑 MTU 尋找」片段訊息。若未存取這些訊息,VCN 中的主機與 VCN 以外的主機進行通訊可能會發生問題。

  • 無狀態:否 (所有規則都必須有狀態)
  • 來源類型: CIDR
  • 來源 CIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IP 協定: ICMP
  • 類型: 3
  • 程式碼: 4

一般傳入規則 3:允許 VCN 內的連線錯誤訊息

此規則可讓 VCN 中的主機相互接收連線錯誤訊息。

  • 無狀態:否 (所有規則都必須有狀態)
  • 來源類型: CIDR
  • 來源 CIDR: VCN 的 CIDR
  • IP 協定: ICMP
  • 類型:全部
  • 代碼:全部

一般傳出規則 1:允許所有傳出流量

  • 無狀態:否 (所有規則都必須有狀態)
  • 目的地類型: CIDR
  • 目的地 CIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IP 協定:全部

附註:

  • 只有與 IPv6 網路的外送通訊才需要 IPv6 目的地 CIDR。
  • 可以限制目的地 CIDR。

自訂安全規則

下列是資料庫系統功能的必要規則。

附註:

自訂傳入規則 1 和 2 只涵蓋從 VCN 起始的連線。如果您有在 VCN 外部的從屬端,Oracle 建議您設定兩個其他規則,讓來源 CIDR 改為設為從屬端的公用 IP 位址。

自訂傳入規則 1:允許 VCN 內的 ONS 和 FAN 流量

建議使用此規則,讓 Oracle Notification Services (ONS) 與「快速應用程式通知 (FAN)」事件通訊。

  • 無狀態:否 (所有規則都必須有狀態)
  • 來源類型: CIDR
  • 來源 CIDR:您的 IPv4 和 IPv6 VCN CIDR
  • IP 協定:TCP
  • 來源連接埠範圍:全部
  • 目的地連接埠範圍: 6200
  • 說明:規則的選擇性說明。

自訂傳入規則 2:允許來自 VCN 的 SQL*NET 流量

此規則適用於 SQL*NET 流量,只有在需要啟用資料庫的用戶端連線時才需要此規則。

  • 無狀態:否 (所有規則都必須有狀態)
  • 來源類型: CIDR
  • 來源 CIDR:您的 IPv4 和 IPv6 VCN CIDR
  • IP 協定:TCP
  • 來源連接埠範圍:全部
  • 目的地連接埠範圍: 1521
  • 說明:規則的選擇性說明。

自訂傳出規則 1:允許傳出 SSH 存取

此規則可讓雙節點資料庫系統中的節點之間進行 SSH 存取。基本連線的一般規則 (以及預設安全清單) 中的一般輸出規則是多餘的。此為選擇性選項,但建議您在不小心變更一般規則 (或預設安全清單) 時使用。

  • 無狀態:否 (所有規則都必須有狀態)
  • 目的地類型: CIDR
  • 目的地 CIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IP 協定:TCP
  • 來源連接埠範圍:全部
  • 目的地連接埠範圍: 22
  • 說明:規則的選擇性說明。

自訂傳出規則 2:允許存取 Oracle Services Network

此規則可讓資料庫系統與 Oracle 服務 (用於網際網路閘道的公用子網路) 或 Oracle 服務網路 (包括所有 Oracle 服務 (用於與服務閘道的專用子網路) 通訊。基本連線的一般規則 (以及預設安全清單) 中的一般輸出規則是多餘的。此為選擇性選項,但建議您在不小心變更一般規則 (或預設安全清單) 時使用。OCI 服務僅與 IPv4 通訊。

  • 無狀態:否 (所有規則都必須有狀態)
  • 目標類型:服務
  • 目的地服務:
    • 使用 IPv4 公用子網路 (搭配網際網路閘道) 時,請使用 CIDR 0.0.0.0/0
    • 使用 IPv4 專用子網路 (搭配服務閘道) 時,請使用名為 Oracle Services Network 中所有 <region> 服務的 CIDR 標籤
  • IP 協定:TCP
  • 來源連接埠範圍:全部
  • 目的地連接埠範圍: 443 (HTTPS)
  • 說明:規則的選擇性說明。

如需網路的更多資訊,請參閱 Networking Overview

實行安全規則的方法

網路服務提供兩種在 VCN 內實行安全規則的方式:

如需安全清單和網路安全群組的比較,請參閱 Security Rules

使用網路安全群組

如果您選擇使用網路安全群組 (NSG),以下是建議的處理作業:

  1. 建立資料庫系統的網路安全群組。將下列安全規則新增至該 NSG:
    • 基本連線所需的一般規則中所列的規則。
    • 自訂安全性規則中所列的規則。
  2. 資料庫管理員在建立資料庫系統時,必須選擇數個網路元件 (例如要使用的 VCN 和子網路)。他們也可以選擇要使用的 NSG 或 NSG。確定他們選擇您建立的 NSG。

您可以改為為為一般規則建立一個 NSG,為自訂規則建立另一個 NSG。接著,當資料庫管理員選擇要用於資料庫系統的 NSG 時,請確定兩者同時選擇 NSG。

使用安全清單

如果您選擇使用安全清單,建議您進行下列程序:

  1. 將子網路設定為使用必要的安全規則:
    1. 為子網路建立自訂安全清單,並且新增自訂安全規則中所列的規則。
    2. 將下列兩個安全清單與子網路建立關聯:
      • VCN 的預設安全清單與其所有預設規則。這會自動與 VCN 搭配使用。
      • 您為此子網路建立的新自訂安全清單
  2. 資料庫管理員於稍後建立資料庫系統時,必須選擇數個網路元件。當您選取已經建立並設定的子網路時,系統會自動對子網路中建立的運算節點強制實行安全規則。

警示:

請勿移除預設安全清單中的預設輸出規則。這樣做時,請務必將下列替代輸出規則包括在子網路的自訂安全清單中:
  • 無狀態:否 (所有規則都必須有狀態)
  • 目的地類型: CIDR
  • 目的地 CIDR:0.0.0.0/0
  • IP 協定:全部