Documentación de Oracle Cloud Infrastructure

Visión general del servicio Network Firewall

Utilice el servicio Network Firewall para crear un firewall con detección y prevención de intrusiones para las redes virtuales en la nube (VCNs).

Con tecnología Palo Alto Networks®, el servicio Network Firewall le ofrece visibilidad del tráfico de red que entra en entornos de nube (norte-sur) y entre subredes (este-oeste). Puede utilizar el servicio Network Firewall con otros servicios de seguridad para crear una solución de seguridad de red en capas.

Un firewall es una instancia escalable y de alta disponibilidad que se crea en una subred. El firewall aplica la lógica de negocio definida en una política al tráfico de red. Utilice el enrutamiento en la VCN para dirigir el tráfico hacia el firewall y desde este.

El servicio Network Firewall proporciona una velocidad de rendimiento de 4 Gbps.

Funciones de seguridad

El servicio Network Firewall proporciona las siguientes funciones de seguridad:
  • Filtrado de red con estado: cree reglas de filtrado de red con estado que permitan o denegen el tráfico de red según la IP de origen (IPv4 y IPv6), la IP de destino (IPv4 y IPv6), el puerto y el protocolo.
  • Filtrado de URL personalizada y FQDN: restringe el tráfico de entrada y salida a una lista especificada de nombres de dominio completos (FQDN), incluidos los comodines y las URL personalizadas.
  • Detección y prevención de intrusiones (IDPS): supervise la actividad maliciosa en las redes. Registre información, informe sobre la actividad o bloquéela.
  • Inspección SSL: descifre e inspeccione el tráfico cifrado TLS con soporte de ESNI para detectar vulnerabilidades de seguridad. La indicación de nombre de servidor cifrado (ESNI) es una extensión TLSv1.3 que cifra la indicación de nombre de servidor (SNI) en el establecimiento de comunicación TLS.
  • Inspección del tráfico de subred dentro de la VCN: enrute el tráfico entre dos subredes de VCN a través de un firewall.
  • Inspección del tráfico entre VCN: enrute el tráfico entre dos VCN a través de un firewall.
  • Inspección de tráfico VXLAN: enrute el tráfico a un punto de acceso de prueba virtual (VTAP) mediante un firewall. Para obtener más información sobre los VTAP, consulte Virtual Test Access Points.
  • Reglas NAT: utilice reglas NAT para crear un juego de reglas de entrada y salida con prioridad. Estas reglas especifican las direcciones de origen y destino, lo que permite realizar la traducción de direcciones de red (SNAT) de origen en el tráfico de red. Con las reglas NAT, puede cambiar las direcciones IP de origen, optimizar el uso de direcciones IP y mejorar la seguridad ocultando los detalles de la red interna. Consulte Acerca de las reglas NAT.

Casos de uso comunes para Network Firewall

Cada escenario utiliza el enrutamiento dentro de la VCN para enrutar el tráfico al firewall. Consulte En ruta dentro de la VCN para obtener más información.

Protección del tráfico entre una red local y una VCN

En este ejemplo, el enrutamiento se configura desde una red local mediante un gateway de enrutamiento dinámico (DRG) al firewall. El tráfico se enruta desde el DRG, a través del firewall y, a continuación, desde la subred del firewall a una subred privada.
Diagrama de enrutamiento de un DRG a través de un firewall y, a continuación, a una subred privada.
Llamada 1: tabla de rutas de gateway de enrutamiento dinámico
CIDR de destino Destino de ruta
0.0.0.0/0 Firewall de red (10.0.2.2)
Referencia 2: tabla de rutas de subred DMZ
CIDR de destino Destino de ruta
0.0.0.0/0 DRG
Llamada 3: Subred privada regional
CIDR de destino Destino de ruta
0.0.0.0/0 Firewall de red (10.0.2.2)

Protección del tráfico entre Internet y una VCN

En este ejemplo, el enrutamiento se configura desde Internet hasta el firewall. El tráfico se dirige desde el gateway de Internet (IGW), a través del firewall y, a continuación, desde la subred del firewall a una subred pública.

En este diagrama se muestra el enrutamiento desde Internet, a través de un firewall y, a continuación, a una subred pública.
Llamada 1: tabla de rutas de gateway de Internet
CIDR de destino Destino de ruta
VCN (10.0.0.0/16) Firewall de red (10.0.2.2)
Referencia 2: tabla de rutas de subred DMZ pública
CIDR de destino Destino de ruta
0.0.0.0/0 IGW
Referencia 3: tabla de rutas de subred pública
CIDR de destino Destino de ruta
0.0.0.0/0 Firewall de red (10.0.2.2)

Protección del tráfico entre subredes en una VCN

En este ejemplo, el enrutamiento se configura desde una subred al firewall. El tráfico se enruta desde la subred A, a través del firewall, y, a continuación, desde la subred del firewall a la subred B.

En este diagrama, se muestra el enrutamiento desde la subred A, a través de un firewall y, a continuación, hasta la subred B.
Referencia 1: tabla de rutas de la subred privada regional A
CIDR de destino Destino de ruta
Subred B (10.0.1.0/24) Firewall de red (10.0.2.2)
Referencia 2: tabla de rutas de la subred privada regional B
CIDR de destino Destino de ruta
Subred A (10.0.3.0/24) Firewall de red (10.0.2.2)

Regiones y dominios de disponibilidad

Puede utilizar el servicio Network Firewall en todas las regiones. Para obtener una lista de regiones soportadas e información general, consulte Regiones y dominios de disponibilidad.

Al crear un firewall, puede crearlo en una región o en un dominio de disponibilidad específico de una región. El valor por defecto al crear un firewall es regional.

Al planificar un firewall, asegúrese de tener en cuenta los siguientes factores:
  • Las instancias de firewall regionales se distribuyen entre todos los dominios de disponibilidad de la región, lo que reduce el riesgo de fallos de dominio de disponibilidad.
  • Los firewalls regionales son de alta disponibilidad y tienen una alta tolerancia a fallos.
  • El uso de firewalls regionales puede agregar latencias menores entre dominios de disponibilidad. Por ejemplo, si el cliente o el servidor se encuentran en un dominio de disponibilidad diferente al de la instancia de firewall, puede haber latencia en milisegundos. Si el cliente o el servidor están en el mismo dominio de disponibilidad que la instancia de firewall, la latencia se expresa en microsegundos.
  • Las instancias de firewall específicas del dominio de disponibilidad se distribuyen en varios dominios de errores dentro de un único dominio de disponibilidad especificado.
  • Los firewalls específicos del dominio de disponibilidad pueden provocar la redirección del tráfico si procede de una subred regional.

Conceptos de Network Firewall

A continuación, se muestran las descripciones sobre los conceptos clave y los componentes principales de Network Firewall:
Firewall
Un firewall es un recurso que existe en una subred seleccionada y controla el tráfico de red de entrada y salida en función de un juego de reglas de seguridad. El tráfico se enruta hacia y desde el firewall desde recursos como gateways de Internet y gateways de enrutamiento dinámico (DRG). Para crear un firewall, debe tener al menos una política que pueda conectar al firewall. Para obtener información sobre cómo crear y gestionar este recurso, consulte Creación y gestión de firewalls.
Política de Firewall
Una política de firewall es un recurso que contiene las reglas que controlan cómo un firewall inspecciona, permite o deniega el tráfico de red. Puede asociar una política de firewall a uno o más firewalls. Para crear o gestionar este recurso, consulte Creación y gestión de políticas de firewall.
Componente de política de firewall
Los componentes de la política de firewall, como listas, secretos y perfiles de descifrado, ayudan a crear reglas para una política de firewall. Para crear o gestionar componentes de política de firewall, consulte Creación y gestión de políticas de firewall.
dominio de disponibilidad
El centro de datos de una región geográfica que aloja recursos en la nube. Para obtener más información, consulte Regiones y dominios de disponibilidad. Existe un firewall en un único dominio de disponibilidad de una región.

Creación de automatización con eventos

Puede crear la automatización basada en cambios de estado para los recursos de Oracle Cloud Infrastructure mediante tipos de eventos, reglas y acciones. Para obtener más información, consulte Visión general de Events.