En esta imagen se muestra el flujo de tráfico saliente de norte a sur desde una máquina virtual pública en una subred pública protegida a Internet mediante el firewall de red a través del gateway de NAT. Incluye una VCN segura pero, de forma similar, puede tener varias VCN protegidas.
La VCN segura (10.10.0.0/16) incluye los siguientes componentes:
- Subred de firewall (10.10.1.0/24), que incluye una dirección IP de firewall de red y firewall. Asegúrese de que la subred de firewall esté en una subred pública, ya que estamos protegiendo las cargas de trabajo de la subred pública. Puede seguir utilizando el mismo firewall para proteger el tráfico de este a oeste y de norte a sur, pero si protege las cargas de trabajo públicas y desea utilizar la capacidad de enrutamiento de entrada del gateway de Internet, debe desplegar el firewall en una subred pública.
- Subred privada protegida (10.10.0.0/24), que incluye cargas de trabajo de aplicaciones. Tenemos una máquina virtual disponible en esta subred con IP privada 10.10.0.10.
- Gateway de NAT para admitir la conexión a Internet de salida.
- Las tablas de rutas están asociadas a la subred de firewall, la subred privada segura y el gateway de NAT, lo que garantiza que el tráfico se enrute a través del firewall de red.
El flujo de tráfico norte-sur de la máquina virtual a Internet mediante el gateway de NAT es el siguiente:
- El tráfico que se mueve de la VM de carga de trabajo (10.10.0.10) al destino de Internet (8.8.8.8) se enruta a través de la tabla de rutas de subred protegida (destino 0.0.0.0/0).
- El tráfico de la tabla de rutas de subred segura va a la dirección IP del firewall de red según el destino de Internet.
- Firewall inspecciona y protege el tráfico según la política de firewall. Una vez inspeccionado y protegido, el tráfico sale de la dirección IP del firewall mediante la tabla de rutas de subred del firewall (destino 0.0.0.0/0).
- La tabla de rutas de subred de firewall envía el tráfico al gateway de NAT y al destino de Internet.
- El tráfico de retorno proviene de Internet al gateway de NAT y seguirá la misma ruta, ya que tenemos un enrutamiento simétrico en cada tabla de rutas.