Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss vom Internet zu einer öffentlichen VM in einem gesicherten öffentlichen Subnetz über Network Firewall. Sie umfasst ein sicheres VCN, aber ähnliches können Sie über mehrere gesicherte VCNs verfügen.

Das gesicherte VCN (10.10.0.0/16) umfasst die folgenden Komponenten:
  • Firewall-Subnetz (10.10.1.0/24), das eine Netzwerkfirewall- und eine Firewall-IP-Adresse enthält. Stellen Sie sicher, dass sich das Firewall-Subnetz in einem öffentlichen Subnetz befindet, da wir öffentliche Subnetz-Workloads schützen. Sie können dennoch dieselbe Firewall verwenden, um den Ost-West-Nord-Süd-Verkehr zu schützen. Wenn Sie jedoch öffentliche Workloads schützen und Ingress-Routingfunktionen für Internetgateways verwenden möchten, müssen Sie die Firewall in einem öffentlichen Subnetz bereitstellen.
  • Gesichertes öffentliches Subnetz (10.10.0.0/24), das Anwendungs-Workloads umfasst. In diesem Subnetz ist eine VM mit einer privaten IP von 10.10.0.10 und einer zugehörigen öffentlichen IP verfügbar.
  • Internetgateway zur Unterstützung von Internetverbindungen.
  • Routentabellen, die mit dem Firewall-Subnetz, dem gesicherten öffentlichen Subnetz und dem Internetgateway verknüpft sind, stellen sicher, dass der Traffic über die Netzwerkfirewall weitergeleitet wird.
Nord-Süd-Verkehrsfluss vom Internet zur virtuellen Maschine wie folgt:
  1. Traffic, der vom Internet zur Workload-VM (10.10.0.10) mit öffentlicher IP der VM wechselt, wird über die Internetgateway-Routentabelle (Ziel 10.10.0.0/24) weitergeleitet.
  2. Traffic von der Internetgatewayroutentabelle wird basierend auf dem Workload-VM-Ziel (10.10.0.10) an die IP-Adresse der Netzwerkfirewall übertragen.
  3. Firewall prüft und schützt den Datenverkehr gemäß Firewallrichtlinie. Sobald der Datenverkehr geprüft und geschützt wurde, wird die Firewall-IP-Adresse über die Routentabelle des Firewall-Subnetzes geprüft (Ziel 10.10.0.0/24).
  4. Firewall-Subnetzroutentabelle sendet den Traffic an die Workload-VM.
  5. Rückgabetraffic stammt von der Workload-VM und folgt demselben Pfad, da das symmetrische Routing in jeder Routentabelle vorhanden ist.