Oracle Cloud Infrastructure-Dokumentation

Virtuelle Firewall

Auf Compute Cloud@Customer bietet der Networking-Service zwei virtuelle Firewall-Features, die beide Sicherheitsregeln verwenden, um den Datenverkehr auf Paketebene zu kontrollieren – Sicherheitslisten und Netzwerksicherheitsgruppen (NSGs). Sie bieten verschiedene Möglichkeiten, Sicherheitsregeln auf ein Set von virtuellen Netzwerkkarten (VNICs) anzuwenden.

  • Sicherheitslisten:

    Eine Sicherheitsliste definiert Sicherheitsregeln auf Subnetzebene. Das bedeutet, dass alle VNICs in einem bestimmten Subnetz denselben Regeln unterliegen. Jedes VCN enthält eine Standardsicherheit mit Standardregeln für wichtigen Traffic. Die Standardsicherheitsliste wird automatisch mit allen Subnetzen verwendet, sofern keine benutzerdefinierte Sicherheitsliste angegeben ist. Mit einem Subnetz können bis zu fünf Sicherheitslisten verknüpft sein.

  • Netzwerksicherheitsgruppen (NSGs):

    Eine Netzwerksicherheitsgruppe definiert Sicherheitsregeln basierend auf der Mitgliedschaft. Die Sicherheitsregeln gelten für Ressourcen, die der NSG explizit hinzugefügt werden. Eine VNIC kann maximal zu fünf NSGs hinzugefügt werden. Eine NSG soll eine virtuelle Firewall für eine Gruppe von Cloud-Ressourcen mit dem gleichen Sicherheitsstatus bereitstellen. Beispiel: Eine Gruppe von Instanzen, die dieselben Aufgaben ausführen und damit dieselben Ports verwenden müssen.

Oracle empfiehlt, NSGs anstelle von Sicherheitslisten zu verwenden, da NSGs es Ihnen ermöglichen, die VCN-Subnetzarchitektur von den Sicherheitsanforderungen Ihrer Anwendung zu trennen. NSGs werden jedoch nur für bestimmte Services unterstützt. Je nach Ihren speziellen Sicherheitsanforderungen können sowohl Sicherheitslisten als auch NSGs zusammen verwendet werden.

Wenn Sie Sicherheitsregeln für alle VNICs in einem VCN durchsetzen möchten, ist die einfachste Lösung, die Regeln in eine Sicherheitsliste aufzunehmen und dann diese Sicherheitsliste mit allen Subnetzen im VCN zu verknüpfen. Auf diese Weise können Sie sicherstellen, dass die Regeln angewendet werden, unabhängig davon, wer in Ihrer Organisation eine VNIC im VCN erstellt. Sie können auch die erforderlichen Sicherheitsregeln zur Standardsicherheitsliste des VCN hinzufügen.

Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen kombinieren möchten, ist das Set von Regeln, das für eine bestimmten VNIC gilt, das Bindeglied dieser Elemente:

  • Die Sicherheitsregeln in den Sicherheitslisten, die mit dem VNICsubnetz verknüpft sind

  • Die Sicherheitsregeln in allen NSGs, in denen die VNIC enthalten ist

Ein in Frage stehendes Paket ist zulässig, wenn eine beliebige Regel in eine der relevanten Listen und Gruppen den Traffic zulässt oder wenn der Traffic Teil einer vorhandenen Verbindung ist, der verfolgt wird, weil eine zustandsbehaftete Regel vorliegt.