Oracle Cloud Infrastructure-Dokumentation

Netzwerkverkehr zu einer Firewall weiterleiten

Szenarios, die zeigen, wie der Netzwerkverkehr an eine Firewall weitergeleitet wird.

In diesem Thema werden Szenarios für das Routing von Traffic an eine Netzwerkfirewall dargestellt. Weitere Informationen zum Netzwerkrouting finden Sie unter VCN-Routentabellen und Intra-VCN-Routing.

Um die Performance zu verbessern, sollten Sie der Sicherheitsliste, die an das Firewallsubnetz angehängt ist, keine Regeln für zustandsbehafteten Traffic hinzufügen oder die Firewall in eine Netzwerksicherheitsgruppe (NSG) aufnehmen, die Regeln für zustandsbehafteten Traffic enthält.

Mit dem Firewall-Subnetz und VNICs verknüpfte Sicherheitslisten- oder Netzwerksicherheitsregeln (NSGs) werden vor der Firewall ausgewertet. Stellen Sie sicher, dass alle Sicherheitslisten- oder NSG-Regeln den Traffic in die Firewall zulassen, damit er ordnungsgemäß ausgewertet werden kann.

Wenn für die Policy, die Sie mit der Firewall verwenden, keine Regeln angegeben sind, verweigert die Firewall den gesamten Traffic.

On-Premise-Traffic über eine Firewall weiterleiten

Ein Beispiel für die Einrichtung des Routings von einem On-Premise-Netzwerk zu Ihrem VCN mit einem dynamischen Routinggateway (DRG).

  1. Erstellen Sie ein DMZ-Subnetz im VCN.
  2. Erstellen Sie im DMZ-Subnetz eine Firewall, und verknüpfen Sie sie mit einer Firewallrichtlinie.
  3. Erstellen Sie ein dynamisches Routinggateway (DRG).
  4. Erstellen Sie eine DRG-Routentabelle.
  5. Hängen Sie das VCN an das DRG an. Verknüpfen Sie beim Einrichten des Anhangs die DRG-Routentabelle mit dem Anhang, wie in Schritt 6 der Anweisungen zum Anhängen des VCN an das DRG angegeben.
  6. Fügen Sie der DRG-Routentabelle eine Intra-VCN-Routingregel hinzu, die ein Ziel-CIDR innerhalb des VCN-CIDR angibt (Beispiel: 10.0.1.0/24), und legen Sie die Firewall-IP-Adresse als Ziel fest (Beispiel: 10.0.2.2).
  7. Aktualisieren Sie das private Subnetz, sodass der gesamte Traffic über die Firewall an On-Premise- oder andere Regionen weitergeleitet wird.
  8. Aktualisieren Sie das DMZ-Subnetz, sodass der Traffic über das DRG an das On-Premise- oder ein anderes VCN in derselben oder einer anderen Region weitergeleitet wird.

    Diese Abbildung zeigt On-Premise-Routing zu einem VCN mit einem DRG.
    Callout 1: Routentabelle für dynamisches Routinggateway (DRG)
    Ziel-CIDR Routingziel
    0.0.0.0/0 Netzwerkfirewall (10.0.2.2)
    Callout 2: Routentabelle für DMZ-Subnetz
    Ziel-CIDR Routingziel
    0.0.0.0/0 DRG
    Callout 3: Routentabelle für DMZ-Subnetz
    Ziel-CIDR Routingziel
    0.0.0.0/0 Netzwerkfirewall (10.0.2.2)
Internetverkehr durch eine Firewall leiten

In diesem Beispiel wird das Routing vom Internet zur Firewall konfiguriert. Traffic wird vom IGW über die Firewall und dann vom Firewallsubnetz zu einem öffentlichen Subnetz weitergeleitet.

  1. Erstellen Sie ein DMZ-Subnetz im VCN.
  2. Erstellen Sie im DMZ-Subnetz eine Firewall, und verknüpfen Sie sie mit einer Policy.
  3. Erstellen Sie ein Internetgateway im VCN.
  4. Fügen Sie der IGW-Routentabelle eine Intra-VCN-Routingregel hinzu, die ein Ziel-CIDR innerhalb des VCN-CIDR angibt (Beispiel: 10.0.1.0/24), und legen Sie die Firewall-IP-Adresse als Ziel fest (Beispiel: 10.0.2.2).
  5. Aktualisieren Sie die Routentabelle des öffentlichen Subnetzes, sodass der gesamte Traffic über die Firewall an das Internet geleitet wird.
  6. Aktualisieren Sie das DMZ-Subnetz, sodass der Traffic über das IGW an das Internet geleitet wird.

    Diese Abbildung zeigt das Routing von einem Internetgateway zu einer Firewall.
    Callout 1: Routentabelle für Internetgateway (IGW)
    Ziel-CIDR Routingziel
    VCN (10.0.0.0/16) Netzwerkfirewall (10.0.2.2)
    Callout 2: Routentabelle für DMZ-Subnetz
    Ziel-CIDR Routingziel
    0.0.0.0/0 IGW
    Callout 3: Routentabelle für öffentliches Subnetz
    Ziel-CIDR Routingziel
    0.0.0.0/0 Netzwerkfirewall (10.0.2.2)
Intra-VCN-Traffic über eine Firewall weiterleiten

In diesem Beispiel wird der Traffic von Subnetz A zur Firewall geleitet. Von der Firewall wird der Traffic an Subnetz B über die implizite Adresse 10.0.0.0 an "local" (nicht dargestellt) weitergeleitet.

  1. Erstellen Sie Subnetz A im VCN.
  2. Erstellen Sie Subnetz B im VCN.
  3. Erstellen Sie ein DMZ-Subnetz im VCN.
  4. Erstellen Sie im DMZ-Subnetz eine Firewall, und verknüpfen Sie sie mit einer Policy.
  5. Fügen Sie der Routentabelle für Subnetz A eine Intra-VCN-Routingregel hinzu, die ein Ziel-CIDR innerhalb des VCN-CIDR angibt (Beispiel: 10.0.1.0/24), und legen Sie die Firewall-IP-Adresse als Ziel fest (Beispiel: 10.0.2.2).
  6. Fügen Sie eine Routingregel zu Subnetz B hinzu, die das Ziel mit dem VCN (10.0.3.0/24) über die Firewall angibt.

    Diese Abbildung zeigt das Intra-VCN-Routing über die Netzwerkfirewall.
    Callout 1: Routentabelle für regionales privates Subnetz A
    Ziel-CIDR Routingziel
    Subnetz B (10.0.1.0/24) Netzwerkfirewall (10.0.2.2)
    Callout 2: Routentabelle für regionales privates Subnetz B
    Ziel-CIDR Routingziel
    Subnetz A (10.0.3.0/24) Netzwerkfirewall (10.0.2.2)