En esta imagen se muestra el flujo de tráfico saliente norte-sur de una máquina virtual pública en una subred pública protegida a Internet a través del firewall de red a través del gateway de NAT. Incluye una VCN segura, pero al igual que puede tener varias CN seguras.

La VCN segura (10.10.0.0/16) incluye los siguientes componentes:
  • Subred del firewall (10.10.1.0/24) que incluye un firewall de red y una dirección IP del firewall. Asegúrese de que la subred del firewall esté en una subred pública, ya que protegemos las cargas de trabajo de subred pública. Aún puede utilizar el mismo firewall para proteger el tráfico este-oeste y norte-sur, pero si protege las cargas de trabajo públicas y desea utilizar la capacidad de enrutamiento de entrada de gateway de Internet, debe desplegar el firewall en una subred pública.
  • Subred privada segura (10.10.0.0/24), que incluye cargas de trabajo de aplicaciones. Tenemos una máquina virtual disponible en esta subred con IP privada 10.10.0.10.
  • Gateway de NAT para soportar la conexión a Internet de salida.
  • Las tablas de rutas están asociadas a una subred de firewall, una subred privada segura y un gateway de NAT, lo que garantiza que el tráfico se enrute mediante el firewall de red.
El flujo de tráfico norte-sur de la máquina virtual a Internet mediante el gateway de NAT es el siguiente:
  1. El tráfico que pasa de la máquina virtual de carga de trabajo (10.10.0.10) al destino de Internet (8.8.8.8) se enruta a través de la tabla de rutas de subred protegida (destino 0.0.0.0/0).
  2. El tráfico de la tabla de rutas de subred protegida va a la dirección IP del firewall de red según el destino de Internet.
  3. Firewall inspecciona y protege el tráfico según la política de firewall. Una vez inspeccionado y protegido, el tráfico sale de la dirección IP del firewall a través de la tabla de rutas de subred del firewall (destino 0.0.0.0/0).
  4. La tabla de rutas de subred del firewall envía el tráfico al gateway de NAT y al destino de Internet.
  5. El tráfico de devolución procede de Internet a un gateway de NAT y seguirá la misma ruta, ya que disponemos de un enrutamiento simétrico en cada tabla de rutas.