Diese Abbildung zeigt den ausgehenden Trafficfluss Nord-Süd von einer öffentlichen VM in einem gesicherten öffentlichen Subnetz über Network Firewall über das NAT-Gateway. Sie umfasst ein sicheres VCN, aber ähnliches können Sie über mehrere gesicherte VCNs verfügen.

Das gesicherte VCN (10.10.0.0/16) umfasst die folgenden Komponenten:
  • Firewall-Subnetz (10.10.1.0/24), das eine Netzwerkfirewall- und eine Firewall-IP-Adresse enthält. Stellen Sie sicher, dass sich das Firewall-Subnetz in einem öffentlichen Subnetz befindet, da wir öffentliche Subnetz-Workloads schützen. Sie können dennoch dieselbe Firewall verwenden, um den Ost-West-Nord-Süd-Verkehr zu schützen. Wenn Sie jedoch öffentliche Workloads schützen und Ingress-Routingfunktionen für Internetgateways verwenden möchten, müssen Sie die Firewall in einem öffentlichen Subnetz bereitstellen.
  • Gesichertes privates Subnetz (10.10.0.0/24), das Anwendungs-Workloads umfasst. In diesem Subnetz ist eine VM mit einer privaten IP-Adresse von 10.10.0.10 verfügbar.
  • NAT-Gateway zur Unterstützung der Egress-Internetverbindung.
  • Routentabellen sind mit einem Firewall-Subnetz, einem gesicherten privaten Subnetz und einem NAT-Gateway verknüpft, sodass der Traffic über die Netzwerkfirewall weitergeleitet wird.
Der Nord-Süd-Verkehrsfluss von der virtuellen Maschine zum Internet mithilfe des NAT-Gateways lautet wie folgt:
  1. Traffic, der von der Workload-VM (10.10.0.10) zum Internetziel (8.8.8.8) wechselt, wird über die Routentabelle für das gesicherte Subnetz (Ziel 0.0.0.0/0) weitergeleitet.
  2. Traffic von der Routentabelle für gesicherte Subnetze wird an die IP-Adresse der Netzwerkfirewall basierend auf dem Internetziel gesendet.
  3. Firewall prüft und schützt den Datenverkehr gemäß Firewallrichtlinie. Nachdem der Datenverkehr geprüft und geschützt wurde, tritt er über die Routentabelle des Firewall-Subnetzes aus der Firewall-IP-Adresse auf (Ziel 0.0.0.0/0).
  4. Die Routentabelle für das Firewall-Subnetz sendet den Datenverkehr an das NAT-Gateway und das Internetziel.
  5. Der Datenverkehr wird vom Internet zum NAT-Gateway zurückgeleitet und folgt demselben Pfad, da auf jeder Routentabelle symmetrisches Routing vorhanden ist.