Oracle Cloud Infrastructure-Dokumentation

Überblick über den Network Firewall Service

Verwenden Sie den Netzwerkfirewallservice, um eine Firewall mit Angriffserkennung und -verhütung für Ihre virtuellen Cloud-Netzwerke (VCNs) zu erstellen.

Der Network Firewall-Service wird von Palo Alto Networks® unterstützt und bietet einen Einblick in den Netzwerkverkehr, der in Cloud-Umgebungen (Nord-Süd) und zwischen Subnetzen (Ost-West) eintritt. Sie können den Netzwerkfirewallservice mit anderen Sicherheitsservices verwenden, um eine mehrschichtige Netzwerksicherheitslösung zu erstellen.

Eine Firewall ist eine hoch verfügbare und skalierbare Instanz, die Sie in einem Subnetz erstellen. Die Firewall wendet in einer Policy definierte Geschäftslogik auf den Netzwerktraffic an. Mit Routing im VCN können Sie Traffic zur und von der Firewall weiterleiten.

Der Network Firewall-Service bietet eine Durchsatzrate von 4 Gbit/s.

Sicherheitsfunktionen

Der Network Firewall-Service bietet die folgenden Sicherheitsfunktionen:
  • Zuständige Netzwerkfilterung: Erstellen Sie Regeln zur zustandsbehafteten Netzwerkfilterung, die Netzwerktraffic basierend auf Quell-IP (IPv4 und IPv6), Ziel-IP (IPv4 und IPv6), Port und Protokoll zulassen oder ablehnen.
  • Benutzerdefinierte URL- und FQDN-Filterung: Schränken Sie Ingress- und Egress-Traffic auf eine angegebene Liste von vollqualifizierten Domainnamen (FQDNs) ein, einschließlich Platzhaltern und benutzerdefinierten URLs.
  • Angriffserkennung und -prävention (IDPS): Überwachen Sie Netzwerke auf böswillige Aktivitäten. Protokollieren Sie Informationen, melden Sie sie, oder blockieren Sie die Aktivität.
  • SSL-Prüfung: Entschlüsseln und prüfen Sie TLS-verschlüsselten Traffic mit ESNI-Unterstützung für Sicherheitslücken. Encrypted Server Name Indication (ESNI) ist eine TLSv1.3-Erweiterung, die die SNI (Server Name Indication) im TLS-Handshake verschlüsselt.
  • Prüfung des VCN-Subnetzverkehrs: Leiten Sie den Traffic zwischen zwei VCN-Subnetzen über eine Firewall weiter.
  • Prüfung des Inter-VCN-Traffics: Routen Sie den Traffic zwischen zwei VCNs über eine Firewall.
  • VXLAN-Trafficprüfung: Leiten Sie Traffic über eine Firewall an einen virtuellen Testzugriffspunkt (VTAP) weiter. Weitere Informationen zu VTAPs finden Sie unter Virtuelle Testzugriffspunkte.
  • NAT-Regeln: Verwenden Sie NAT-Regeln, um ein priorisiertes Set von Ingress- und Egress-Regeln zu erstellen. Diese Regeln geben Quell- und Zieladressen an, sodass Sie die Quellnetzwerkadressübersetzung (SNAT) für den Netzwerkverkehr ausführen können. Mit NAT-Regeln können Sie IP-Quelladressen ändern, die Nutzung von IP-Adressen optimieren und die Sicherheit verbessern, indem Sie interne Netzwerkdetails verbergen. Siehe Informationen zu NAT-Regeln.

Allgemeine Anwendungsfälle für Netzwerkfirewall

In jedem Szenario wird Intra-VCN-Routing verwendet, um Traffic an die Firewall weiterzuleiten. Weitere Informationen finden Sie unter Intra-VCN-Routing.

Traffic zwischen einem On-Premise-Netzwerk und einem VCN sichern

In diesem Beispiel wird das Routing von einem On-Premise-Netzwerk über ein dynamisches Routinggateway (DRG) zur Firewall konfiguriert. Der Traffic wird vom DRG über die Firewall und dann vom Firewallsubnetz zu einem privaten Subnetz weitergeleitet.
Routingdiagramm von einem DRG über eine Firewall und dann zu einem privaten Subnetz.
Callout 1: Routentabelle des dynamischen Routinggateways
Ziel-CIDR Routingziel
0.0.0.0/0 Netzwerkfirewall (10.0.2.2)
Callout 2: Routentabelle für DMZ-Subnetz
Ziel-CIDR Routingziel
0.0.0.0/0 DRG
Callout 3: Regionales privates Subnetz
Ziel-CIDR Routingziel
0.0.0.0/0 Netzwerkfirewall (10.0.2.2)

Traffic zwischen dem Internet und einem VCN sichern

In diesem Beispiel wird das Routing vom Internet zur Firewall konfiguriert. Traffic wird vom Internetgateway (IGW) über die Firewall und dann vom Firewallsubnetz zu einem öffentlichen Subnetz weitergeleitet.

Dieses Diagramm zeigt das Routing vom Internet über eine Firewall und dann zu einem öffentlichen Subnetz.
Callout 1: Routentabelle für Internetgateway
Ziel-CIDR Routingziel
VCN (10.0.0.0/16) Netzwerkfirewall (10.0.2.2)
Callout 2: Routentabelle für öffentliches DMZ-Subnetz
Ziel-CIDR Routingziel
0.0.0.0/0 IGW
Callout 3: Routentabelle für öffentliches Subnetz
Ziel-CIDR Routingziel
0.0.0.0/0 Netzwerkfirewall (10.0.2.2)

Traffic zwischen Subnetzen in einem VCN sichern

In diesem Beispiel wird das Routing von einem Subnetz zur Firewall konfiguriert. Traffic wird von Subnetz A über die Firewall und dann vom Firewallsubnetz zu Subnetz B geleitet.

Dieses Diagramm zeigt das Routing von Subnetz A über eine Firewall und dann zu Subnetz B.
Callout 1: Routentabelle für regionales privates Subnetz A
Ziel-CIDR Routingziel
Subnetz B (10.0.1.0/24) Netzwerkfirewall (10.0.2.2)
Callout 2: Routentabelle für regionales privates Subnetz B
Ziel-CIDR Routingziel
Subnetz A (10.0.3.0/24) Netzwerkfirewall (10.0.2.2)

Regionen und Availability-Domains

Sie können den Netzwerkfirewallservice in allen Regionen verwenden. Eine Liste der unterstützten Regionen und allgemeinen Informationen finden Sie unter Regionen und Availability-Domains.

Wenn Sie eine Firewall erstellen, können Sie sie in einer Region oder einer bestimmten Availability-Domain in einer Region erstellen. Der Standardwert beim Erstellen einer Firewall ist regional.

Achten Sie bei der Planung einer Firewall darauf, die folgenden Faktoren zu berücksichtigen:
  • Regionale Firewallinstanzen werden über alle Availability-Domains in der Region verteilt, wodurch das Risiko eines Ausfalls der Availability-Domain reduziert wird.
  • Regionale Firewalls sind hochverfügbar und haben eine hohe Fehlertoleranz.
  • Die Verwendung regionaler Firewalls kann zu geringfügigen Latenzzeiten zwischen Availability-Domains führen. Beispiel: Wenn sich der Client oder Server in einer anderen Availability-Domain als die Firewallinstanz befindet, kann es zu einer Latenz in Millisekunden kommen. Wenn sich der Client oder Server in derselben Availability-Domain wie die Firewallinstanz befindet, beträgt die Latenzzeit Mikrosekunden.
  • Availability-Domain-spezifische Firewallinstanzen werden über viele Faultdomains innerhalb einer einzelnen angegebenen Availability-Domain verteilt.
  • Availability-Domain-spezifische Firewalls können zu einer Umleitung des Traffics führen, wenn er von einem regionalen Subnetz stammt.

Netzwerkfirewall - Konzepte

Im Folgenden finden Sie Beschreibungen wichtiger Konzepte und der Hauptkomponenten von Netzwerkfirewall:
Firewall
Eine Firewall ist eine Ressource, die in einem ausgewählten Subnetz vorhanden ist und eingehenden und ausgehenden Netzverkehr basierend auf einem Set von Sicherheitsregeln kontrolliert. Traffic wird von Ressourcen wie Internetgateways und dynamischen Routinggateways (DRGs) an die und von der Firewall weitergeleitet. Um eine Firewall zu erstellen, benötigen Sie mindestens eine Policy, die Sie der Firewall zuordnen können. Informationen zum Erstellen und Verwalten dieser Ressource finden Sie unter Firewalls erstellen und verwalten.
Firewall-Policy
Eine Firewallrichtlinie ist eine Ressource, die Regeln enthält, die steuern, wie eine Firewall Netzwerktraffic prüft, zulässt oder ablehnt. Sie können eine Firewallrichtlinie mit einer oder mehreren Firewalls verknüpfen. Informationen zum Erstellen oder Verwalten dieser Ressource finden Sie unter Firewall-Policys erstellen und verwalten.
Firewall-Policy-Komponente
Mit Firewall-Policy-Komponenten wie Listen, Secrets und Entschlüsselungsprofilen können Sie Regeln für eine Firewall-Policy erstellen. Informationen zum Erstellen oder Verwalten von Firewall-Policy-Komponenten finden Sie unter Firewall-Policys erstellen und verwalten.
Availability-Domain
Das Data Center innerhalb einer geografischen Region, in der Cloud-Ressourcen bereitgestellt werden. Weitere Informationen finden Sie unter Regionen und Availability-Domains. Eine Firewall ist in einer einzelnen Availability-Domain in einer Region vorhanden.

Automatisierung mit Ereignissen erstellen

Sie können Automatisierung basierend auf Statusänderungen für Ihre Oracle Cloud Infrastructure-Ressourcen erstellen, indem Sie Ereignistypen, Regeln und Aktionen verwenden. Weitere Informationen finden Sie unter Überblick über Events.