Documentación de Oracle Cloud Infrastructure

Enrutamiento del tráfico de red a un firewall

Escenarios que muestran cómo enrutar el tráfico de red a un firewall.

En este tema, se muestran los escenarios para enrutar el tráfico a un firewall de red. Para obtener más información sobre el enrutamiento de red, consulte Tablas de rutas de VCN y Enrutamiento dentro de VCN.

Para un mejor rendimiento, considere no agregar reglas con estado a la lista de seguridad asociada a la subred del firewall ni incluir el firewall en un grupo de seguridad de red (NSG) que contenga reglas con estado.

Las reglas de la lista de seguridad o del grupo de seguridad de red (NSG) asociadas a la subred del firewall y las VNIC se evalúan antes del firewall. Asegúrese de que cualquier lista de seguridad o regla de NSG permita que el tráfico entre en el firewall para que se pueda evaluar correctamente.

Si la política que utiliza con el firewall no tiene ninguna regla especificada, el firewall niega todo el tráfico.

Enrute el tráfico local a través de un firewall

Un ejemplo de cómo configurar el enrutamiento desde una red local a su VCN mediante un gateway de direccionamiento dinámico (DRG).

  1. Cree una subred DMZ en la VCN.
  2. En la subred DMZ, cree un firewall y asociarlo a una política de firewall.
  3. Cree un gateway de enrutamiento dinámico (DRG).
  4. Cree una tabla de rutas de DRG.
  5. Asocie la VCN al DRG. Al configurar la asociación, asocie la tabla de rutas de DRG a la asociación según lo especificado en el paso 6 de las instrucciones Asocie la VCN al DRG.
  6. Agregue una regla de ruta dentro de la VCN a la tabla de rutas de DRG que especifique un CIDR de destino dentro del CIDR de la VCN (por ejemplo, 10.0.1.0/24) y dirija la dirección IP del firewall (por ejemplo, 10.0.2.2).
  7. Actualice la subred privada para enrutar todo el tráfico a regiones locales u otras regiones a través del firewall.
  8. Actualice la subred DMZ para enrutar el tráfico a una VCN local u otra en las mismas regiones o en distintas a través del DRG.

    En esta imagen se muestra el enrutamiento local a una VCN mediante un DRG.
    Referencia 1: tabla de rutas de gateway de enrutamiento dinámico (DRG)
    CIDR de destino Destino de ruta
    0.0.0.0/0 Firewall de red (10.0.2.2)
    Referencia 2: tabla de rutas de subred DMZ
    CIDR de destino Destino de ruta
    0.0.0.0/0 DRG
    Referencia 3: tabla de rutas de subred DMZ
    CIDR de destino Destino de ruta
    0.0.0.0/0 Firewall de red (10.0.2.2)
Dirigir el tráfico de Internet a través de un firewall

En este ejemplo, el enrutamiento se configura desde Internet hasta el firewall. El tráfico se enruta desde el IGW, a través del firewall y, a continuación, desde la subred del firewall a una subred pública.

  1. Cree una subred DMZ en la VCN.
  2. En la subred DMZ, cree un firewall y asócielo a una política.
  3. Cree un gateway de Internet en la VCN.
  4. Agregue una regla de rutas entre VCN a la tabla de rutas de IGW que especifique un CIDR de destino dentro del CIDR de la VCN (por ejemplo, 10.0.1.0/24) y dirija la dirección IP del firewall (por ejemplo, 10.0.2.2)
  5. Actualice la tabla de rutas de subred pública para enrutar todo el tráfico a Internet a través del firewall.
  6. Actualice la subred de DMZ para enrutar el tráfico a Internet a través del IGW.

    En esta imagen se muestra el enrutamiento de un gateway de Internet a un firewall.
    Referencia 1: tabla de rutas de gateway de Internet (IGW)
    CIDR de destino Destino de ruta
    VCN (10.0.0.0/16) Firewall de red (10.0.2.2)
    Referencia 2: tabla de rutas de subred DMZ
    CIDR de destino Destino de ruta
    0.0.0.0/0 IGW
    Referencia 3: tabla de rutas de subred pública
    CIDR de destino Destino de ruta
    0.0.0.0/0 Firewall de red (10.0.2.2)
Enrute el tráfico dentro de la VCN a través de un firewall

En este ejemplo, el tráfico se enruta desde la subred A al firewall. Desde el firewall, el tráfico se enruta a la subred B mediante 10.0.0.0 implícito a "local" (no se muestra).

  1. Cree la subred A en la VCN.
  2. Cree la subred B en la VCN.
  3. Cree una subred DMZ en la VCN.
  4. En la subred DMZ, cree un firewall y asócielo a una política.
  5. Agregue una regla de rutas entre VCN a la tabla de rutas de la subred A que especifique un CIDR de destino dentro del CIDR de la VCN (por ejemplo, 10.0.1.0/24) y dirija la dirección IP del firewall (por ejemplo, 10.0.2.2)
  6. Agregue una regla de ruta a la Subred B que especifique el destino con la VCN (10.0.3.0/24) a través del firewall.

    En esta imagen se muestra el enrutamiento dentro de la VCN a través del firewall de red.
    Referencia 1: tabla de rutas de la subred privada regional A
    CIDR de destino Destino de ruta
    Subred B (10.0.1.0/24) Firewall de red (10.0.2.2)
    Referencia 2: tabla de rutas de la subred privada regional B
    CIDR de destino Destino de ruta
    Subred A (10.0.3.0/24) Firewall de red (10.0.2.2)