Hinweis:
- Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Anmelden für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.
Sichern Sie Ihre Oracle Cloud VMware Solution-Workloads mit Oracle Cloud Infrastructure Network Firewall
Einführung
In diesem Dokument wird beschrieben, wie Sie mit Oracle Cloud Infrastructure (OCI) Network Firewall Ihre in einer Oracle Cloud VMware Solution ausgeführten Workloads sichern können. Mit Oracle Cloud VMware Solution können Sie VMware Software Defined Data Center (SDDCs) in OCI erstellen und verwalten.
OCI Network Firewall kann als verteiltes Modell oder als Transitmodell bereitgestellt werden. In diesem Tutorial wird das Transitromodell bereitgestellt, bei dem sich die Netzwerkfirewall in einem Hub-VCN, dem Oracle Cloud VMware Solution-SDDC in einem Spoke-VCN befindet. Mit den VCN- und Ingress-Routingfunktionen von OCI Networking können Sie den Traffic über eine Netzwerkfirewall prüfen, die im Hub-VCN ausgeführt wird.
Hinweis: Auch wenn in diesem Tutorial OCI Network Firewall dargestellt wird, sollten die meisten Konzepte für andere 3rd-Party-Appliances wie Fortinet, Palo Alto Networks, Cisco, Check Point und mehr gelten. Der Kunde muss mit dem jeweiligen Anbieter/Partner zusammenarbeiten, um sicherzustellen, dass er vom Anbieter unterstützt wird.
Anwendungsfälle
Mit den Intra-VCN-Routingfunktionen von OCI können Sie das Routing ganz einfach konfigurieren, um OCI-Workload-Traffic in VCNs zu unterstützen. Außerdem können Sie mit einer Firewall Ihren Traffic prüfen/sichern. Wir verwenden Funktionen zum Intra-VCN- und Ingress-Routing, die Folgendes umfassen:
-
Intra-VCN-Routing - Damit können Sie das direkte Routing für den Intra-VCN-Traffic mit den definierten Routen ändern. Sie können Routen auf Subnetzebene definieren.
-
Ingress-Routing für Internetgateway/Network Address Translation Gateway - Damit können Sie Routen für eingehenden öffentlichen Traffic zum VCN zu einem vom Benutzer ausgewählten nächsten Hop definieren.
-
Verbesserung für das Softwaregateway-Ingress-Routing - Damit können Sie Ihre Routen für Softwaregateway definieren, um Traffic von OCI-Services an Ziele in Ihrem VCN weiterzuleiten.
In diesem Tutorial werden verschiedene Verkehrsszenarios und von OCI Network Firewall unterstützte wichtige Features validiert:
-
Nord-Süd-Trafficprüfung zwischen OCI und NSX-Overlay: Sicherer Traffic von OCI Native Compute VM zu Oracle Cloud VMware Solution NSX Workload VMs.
-
Nord-Süd-Trafficprüfung zwischen NSX Overlay und öffentlichem Internet: Sicherer Traffic von NSX-Workloads von Oracle Cloud VMware Solution bis hin zum internetseitigen Traffic.
-
East-West-Trafficprüfung in OCI-Subnetzen und VLANs: Sicherer Traffic von OCI Native Comute VM zu Oracle Cloud VMware Solution vSphere, der in OCI VLAN gehostet wird.
-
East-West-Trafficprüfung in OCI-Subnetzen: Sicherer Traffic von der OCI-DB-VM zu dem Oracle Cloud VMware Solution-SDDC ESXi Host, der in einem OCI-Subnetz gehostet wird.
-
Validieren Sie die Sicherheitsfunktionen von Network Firewall, einschließlich Intrusion Prevention, Intrusion Detection, URL-Filterung und eingehender SSL-Prüfung.
Hinweis: Sie können den Ost-West-Traffic innerhalb von NSX-Workload-VMs nicht mit dem Transitmodell prüfen. Wenn Sie diesen Traffic prüfen möchten, wird empfohlen, eine Partnerlösung der 3. Partei in der Oracle Cloud VMware Solution-Umgebung bereitzustellen, die nicht in diesem Tutorial behandelt wird.
Zielsetzung
In diesem Tutorial wird die OCI Intra-VCN-Routingfunktion mit OCI Network Firewall-Lösung in einer Oracle Cloud VMware-Lösungsumgebung beschrieben. Wir haben den Anwendungsfall für das Routing virtueller Cloud-Netzwerke behandelt, mit dem das Firewall-Deployment auf OCI vereinfacht wird.
Voraussetzungen
- Eine funktionierende Intra-VCN-Netzwerktopologie kann gemäß dem Topologiediagramm eingerichtet werden.
- Eine funktionierende OCI-Netzwerkfirewall in Ihrem Hub-VCN:
- Folgen Sie diesem Workshop, um sich mit der OCI Network Firewall-Lösung vertraut zu machen.
- Eine funktionierende Oracle Cloud VMware Solution-SDDC-Umgebung, die in einem dedizierten VCN bereitgestellt ist, können Sie der Oracle Cloud VMware Solution-Dokumentation folgen. Für dieses Tutorial wurde ein einzelnes Host-SDDC bereitgestellt.
- In diesem Tutorial haben wir eine Linux-Bastion-VM und eine Windows-Jumphost-VM in den jeweiligen Subnetzen bereitgestellt, um native OCI-Workloads darzustellen. Diese können durch andere VMs ersetzt werden, die eine Anwendung oder Datenbank hosten können.
Hinweis: In einer Produktionsumgebung müssen Sie Firewalls in High Availability bereitstellen.
Architektur
Die folgende Topologie unterstützt diesen Anwendungsfall.
Aufgabe 1: OCI Network Firewall konfigurieren
In den folgenden Abschnitten wird die mindestens erforderliche Konfiguration der OCI Network Firewall dargestellt. Weitere erweiterte Konfigurationen finden Sie in der offiziellen Dokumentation.
-
VCN-Subnetze und VLANs: Der erste Schritt besteht darin, sicherzustellen, dass Sie die erforderlichen VCNs und Subnetze wie im Abschnitt "Voraussetzungen" beschrieben erstellt haben, um Ihre Anwendungsfalltopologie zu unterstützen.
-
Sie können sie mit der OCI-Konsole prüfen, indem Sie zu Virtuelle Cloud-Netzwerke, Details virtuelles Cloud-Netzwerk, Ressourcen navigieren.
- Firewall-Subnetz-IAD-Subnetz zur Unterstützung der Netzwerkfirewall in Hub-VCN
- Public-Bastion-Subnetz-IAD, JumpHost-Subnetz-IAD-Subnetze in Hub-VCN zur Unterstützung von VMs für Trafficvalidierungen
- DB-Subnetz-IAD-Subnetz in DB-Spoke-VCN-IAD-VCN zur Unterstützung von DB-Workloads
- Während des Deployments des Oracle Cloud VMware Solution-SDDC müssen entsprechende Subnetze und VLANs erstellt worden sein
-
Die folgende Abbildung zeigt Hub-VCN (Firewall-VCN-IAD) und zugehörige Subnetze.
-
Als Nächstes müssen Sie eine OCI Network-Firewall bereitstellen, die im Firewall-Subnetz bereitgestellt ist. Weitere Informationen finden Sie in der offiziellen Dokumentation.
-
-
OCI Network Firewall Policy-Regeln: Stellen Sie sicher, dass erforderliche Firewallsicherheitsregeln hinzugefügt werden, um Anwendungsfalltraffic zu unterstützen. Weitere Informationen zum Konfigurieren von Regeln finden Sie in der offiziellen Dokumentation.
-
OCI Network Firewall: Stellen Sie im Hub-VCN die Netzwerkfirewall gemäß den Voraussetzungen bereit. Sobald die Firewall-VM aktiv ist, verwenden Sie diese zum Sichern des Datenverkehrs.
-
Routentabellen für VCN-, Subnetze-, VLAN- und DRG-Anhänge: Sie müssen die Routentabellen so konfigurieren, dass sie die richtigen Routingregeln für die Anwendungsfalltopologie widerspiegeln. Auf hoher Ebene müssen Sie die Routentabellen in den VCNs wie folgt ändern:
-
Firewall-VCN
- Routentabelle für Firewall-Subnetz: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und als Ziel als Internetgateway, nat-Gateway, Servicegateway oder DRG.
- Routentabelle für öffentliche Bastionsubnetze: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als IP-Adresse der Netzwerkfirewall.
- Private Routentabelle für das Subnetz JumpHost: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als IP-Adresse der Netzwerkfirewall.
- VCN-Ingress-Routentabelle: Erstellen Sie Einträge mit den einzelnen Ziel-CIDRs und dem Ziel als Firewall-IP-Adresse, um den Traffic von Spoke-VCNs zu prüfen.
-
Oracle Cloud VMware Solution-VCN
- Subnetz-SDDC-Routentabelle: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als DRG.
- vSphere VLAN-Routentabelle: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als DRG.
- NSX Edge-Uplink-1-VLAN-Routentabelle: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als DRG.
- VCN-Ingress-Routentabelle: Erstellen Sie Einträge mit den einzelnen Ziel-Overlays-CIDRs und dem Ziel als NSX-EDGE-UPLINK-IP-Adresse, um sicherzustellen, dass Traffic zurück zu Overlay-Hosts geleitet wird.
-
DB-VCN
- Routentabelle für DB-Subnetz: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als DRG, um Traffic über OCI Network Firewall zu prüfen.
-
DRG-VCNs-Anhang
- Routentabelle für Firewall-VCN-Anhänge: Erstellen Sie Einträge mit den einzelnen NSX-Workload-CIDRs als Ziel und dem nächsten Hop als VCN-Anhang für Oracle Cloud VMware Solution. Importroutenverteilung mit übereinstimmenden Kriterien für Oracle Cloud VMware Solution und DB-VCN.
- Oracle Cloud VMware Solution - Routentabelle für VCN-Anhänge: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem Ziel als Firewall-VCN-Anhang, um Traffic über OCI Network Firewall zu prüfen.
- Routentabelle für DB-Anhänge: Erstellen Sie Einträge mit jedem Subnetz-CIDR als Ziel und dem nächsten Hop als Firewall-VCN-Anhang, um Traffic über OCI Network Firewall zu prüfen.
-
Hinweis: Stellen Sie sicher, dass die Routensymmetrie verwendet wird, damit der Traffic in beide Richtungen ordnungsgemäß geprüft wird.
Aufgabe 2: Traffic von OCI Network Firewall validieren und prüfen
An dieser Stelle können Sie den Traffic von der Windows-VM JumpHost, der Bastion-VM, der SDDC-Umgebung von Oracle Cloud VMware Solution, den NSX Overlay-VMs und der DB Spoke-VM validieren und den Traffic von der OCI Network Firewall prüfen. Die folgende Abbildung zeigt die erforderlichen VMs, die gemäß der Anwendungsfalltopologie ausgeführt werden.
Nord-Süd-Trafficprüfung von JumpBox Windows VM zu NSX Overlay VMs über Intra-VCN Routing (IVR)
-
Mit IVR-Routingfunktionen können Sie Traffic innerhalb des VCN und benutzerdefinierte Route an private Firewall-IP weiterleiten. Die folgende Abbildung zeigt den logischen Trafficfluss und verschiedene Routingtabellen, die verknüpft sind, um sicherzustellen, dass die Windows-VM JumpHost mit den NSX-Workload-VMs von Oracle Cloud VMware Solution kommunizieren kann.
-
Sie haben die erforderliche Sicherheitsregel bereits wie unten angegeben übergeben, um sicherzustellen, dass der Traffic durch Firewall geprüft wird.
-
Sie können von JumpHost Windows VM (10.40.1.160) auf die Oracle Cloud VMware Solution Workload VMs (172.16.X.X) zugreifen.
-
Die folgende Abbildung zeigt Trafficlogs in OCI Network Firewall basierend auf den angewendeten Sicherheitsregeln.
Nord-Süd-Trafficprüfung von NSX Overlay VM an das Internet über Network Gateway Ingress Routing
-
Mit den IVR-Routing- und Netzwerkgateway-Ingress-Routingfunktionen können Sie Traffic in einem VCN weiterleiten und eine benutzerdefinierte Route zu einem Network Address Translation Gateway verwenden. Die folgende Abbildung zeigt den logischen Trafficfluss und die verschiedenen Routing-Tabellen, mit denen IVR- und Network Gateway-Ingress-Routings von Oracle Cloud VMware Solution Workload VMs zum Internet über OCI Network Firewall aktiviert werden.
-
Sie haben die erforderliche Sicherheitsregel bereits wie unten angegeben übergeben, um sicherzustellen, dass der Traffic durch Firewall geprüft wird.
-
Sie können eine Verbindung von Oracle Cloud VMware Solution NSX Workload VM (172.16.1.5) zum Internet (info.cern.ch) herstellen.
-
Die folgende Abbildung zeigt Trafficlogs in OCI Network Firewall basierend auf den angewendeten Sicherheitsregeln.
Ost-West-Trafficprüfung von JumpBox Windows VM zu vCenter über Intra-VCN Routing (IVR)
-
Mit IVR-Routingfunktionen können Sie Traffic innerhalb des VCN und benutzerdefinierte Route an private Firewall-IP weiterleiten. Die folgende Abbildung zeigt den logischen Trafficfluss und verschiedene Routing-Tabellen, die verknüpft sind, um sicherzustellen, dass die Windows-VM JumpHost Oracle Cloud VMware Solution vCenter Server erreichen kann:
-
Sie haben die erforderliche Sicherheitsregel bereits wie unten angegeben übergeben, um sicherzustellen, dass der Traffic durch Firewall geprüft wird.
-
Sie können über JumpHost Windows VM (10.40.1.160) auf den Oracle Cloud VMware Solution vCenter Server (10.0.4.2) zugreifen.
-
Die folgende Abbildung zeigt Trafficlogs in OCI Network Firewall basierend auf den angewendeten Sicherheitsregeln.
Ost-West-Trafficprüfung von DB Spoke VM und ESXi Host und umgekehrt
-
Mit IVR-Routingfunktionen können Sie Traffic in VCNs und benutzerdefinierte Route zu privater Firewall-IP weiterleiten. Die folgende Abbildung zeigt den logischen Trafficfluss und verschiedene Routingtabellen, die verknüpft sind, um sicherzustellen, dass der Spoke-VM-Traffic zu einem Oracle Cloud VMware Solution-SDDC ESXi-Host aus Sicherheitsgründen gelöscht wird.
-
Sie haben die erforderliche Sicherheitsregel bereits wie unten angegeben übergeben, um sicherzustellen, dass der Traffic durch Firewall geprüft wird.
-
Sie können von der DB-VM (10.50.0.118) auf den Oracle Cloud VMware Solution ESXi-Host (10.0.0.110) zugreifen, und der Traffic muss basierend auf der angewendeten Sicherheitsregel abgelehnt werden.
-
Die folgende Abbildung zeigt Trafficlogs in OCI Network Firewall basierend auf der angewendeten Sicherheitsregel.
IPS/IDS, URL-Filterung, SSL-Forward-Proxy und eingehenden SSL-Inspektionstraffic von NSX Overlay-VMs zum Internet über Inter-VCN-Routing
-
Netzwerkfirewall-Schlüsselfeatures bieten Firewallfunktionen der nächsten Generation, wie Intrusion Prevention, Intrusion Detection, URL-Filterung, eingehende SSL-Prüfung usw. können Sie sie zusammen mit der Oracle Cloud VMware Solution-SDDC-Umgebung verwenden.
-
Die folgende Abbildung zeigt den logischen Datenverkehr und verschiedene Routing-Tabellen, die damit verknüpft sind, dass NGFW-Funktionen verwendet werden können:
-
Weitere Informationen zu diesen Funktionen finden Sie in der offiziellen Dokumentation für OCI Network Firewall.
IPS/IDS
-
Die folgende Abbildung zeigt die IPS/IDS-Sicherheitsregel, die mit Firewall verknüpft ist. In unserem Fall wird die Jumpbox-VM EICAR-Malware über HTTPS herunterladen.
-
Sie können über das Netzwerkgateway-Ingress-Routing von der Jumpbox-VM auf die internetseitige Schadsoftware zugreifen. Der Traffic durchläuft die Firewall.
-
Die folgende Abbildung zeigt Trafficlogs in OCI Network Firewall, und ein Alert muss gemäß IDS-Aktion generiert werden.
URL-Filterung
-
Die folgende Abbildung zeigt die Sicherheitsregel zum Filtern von URLs in Network Firewall. In unserem Fall greift die NSX-Workload-VM von Oracle Cloud VMware Solution auf eine bestimmte öffentliche URL zu und muss abgelehnt werden.
-
Die folgende Abbildung zeigt Trafficlogs in OCI Network Firewall und muss die richtige Sicherheitsregel treffen.
SSL-Forward-Proxy und eingehende SSL-Prüfung
-
Wir haben eine Entschlüsselungsregel zur Unterstützung von SSL/TLS-Traffic erstellt, die sicherstellt, dass der HTTPS-Traffic von der Jumpbox-VM zum Internet das SSL-Forward-Proxyprofil verwendet.
-
Sie können von der Jumpbox-VM über SSL/HTTPS auf die internetseitigen URLs über SSL/HTTPS zugreifen. Der Traffic durchläuft die Firewall.
Verwandte Links
- Oracle Cloud Infrastructure
- Überblick über Oracle Cloud VMware Solution
- Oracle Cloud Virtual Cloud Network-Routing
- Oracle Cloud Infrastructure - Hub- und Spoke-Architektur
- Oracle Cloud Infrastructure-Transitrohubfirewall mit einem DRG
- Oracle Dynamic Routing Gateway-Dokumentation
- OCI Network Firewall
- Überblick über OCI Network Firewall
- OCI Network Firewall-Workshop
- Defense in Depth, Layering mit OCI Network Firewall
Danksagungen
Autoren:
- Arun Poonia (Architekt)
- Praveen Kumar Pedda Vakkalam (Principal Solutions Architect)
Weitere Lernressourcen
Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem die Website education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.
Produktdokumentation finden Sie im Oracle Help Center.
Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall
F80966-01
April 2023
Copyright © 2023, Oracle and/or its affiliates.