Documentation sur Oracle Cloud Infrastructure

Acheminement du trafic réseau vers un pare-feu

Scénarios montrant comment acheminer le trafic réseau vers un pare-feu.

Cette rubrique présente des scénarios pour l'acheminement du trafic vers un pare-feu de réseau. Pour plus d'informations sur le routage réseau, voir Tables de routage de VCN et Routage intra-VCN.

Pour une meilleure performance, pensez à ne pas ajouter de règles avec état à la liste de sécurité associée au sous-réseau de pare-feu, ni à inclure le pare-feu dans un groupe de sécurité de réseau qui contient des règles avec état.

Les règles de liste de sécurité ou de groupe de sécurité de réseau associées au sous-réseau de pare-feu et aux cartes vNIC sont évaluées avant le pare-feu. Assurez-vous que les listes de sécurité ou les règles de groupe de sécurité de réseau permettent au trafic d'entrer dans le pare-feu afin qu'il puisse être évalué correctement.

Si aucune règle n'est spécifiée pour la politique que vous utilisez avec le pare-feu, celui-ci refuse tout le trafic.

Acheminer le trafic sur place au moyen d'un pare-feu

Exemple de configuration du routage entre un réseau sur place et votre réseau VCN à l'aide d'une passerelle de routage dynamique (DRG).

  1. Créez un sous-réseau DMZ dans le réseau en nuage virtuel.
  2. Dans le sous-réseau DMZ, créer un pare-feu et l'associer à une politique de pare-feu.
  3. Créez une passerelle de routage dynamique (DRG).
  4. Créez une table de routage DRG.
  5. Attachez le VCN à la passerelle DRG. Lors de la configuration de l'attachement, associez la table de routage DRG à l'attachement, comme spécifié à l'Étape 6 des instructions Attacher le VCN à la passerelle DRG.
  6. Ajoutez une règle de routage intra-VCN à la table de routage DRG qui spécifie un CIDR de destination au sein du CIDR du VCN (par exemple, 10.0.1.0/24) et ciblez l'adresse IP du pare-feu (par exemple, 10.0.2.2).
  7. Mettez à jour le sous-réseau privé pour acheminer tout le trafic vers des régions sur place ou d'autres régions au moyen du pare-feu.
  8. Mettez à jour le sous-réseau DMZ pour acheminer le trafic vers un réseau en nuage virtuel sur place ou un autre VCN dans la même région ou dans des régions différentes au moyen de la passerelle DRG.

    Cette image présente le routage sur place vers un VCN à l'aide d'une passerelle DRG.
    Légende 1 : Table de routage de passerelle de routage dynamique (DRG)
    CIDR de destination Cible de routage
    0.0.0.0/0 Pare-feu de réseau (10.0.2.2)
    Légende 2 : Table de routage de sous-réseau DMZ
    CIDR de destination Cible de routage
    0.0.0.0/0 DRG
    Légende 3 : Table de routage de sous-réseau DMZ
    CIDR de destination Cible de routage
    0.0.0.0/0 Pare-feu de réseau (10.0.2.2)
Acheminer le trafic Internet au moyen d'un pare-feu

Dans cet exemple, le routage est configuré à partir d'Internet vers le pare-feu. Le trafic est acheminé depuis la passerelle Internet, à travers le pare-feu, puis depuis le sous-réseau de pare-feu vers un sous-réseau public.

  1. Créez un sous-réseau DMZ dans le réseau en nuage virtuel.
  2. Dans le sous-réseau DMZ, créez un pare-feu et associez-le à une politique.
  3. Créez une passerelle Internet dans le VCN.
  4. Ajoutez une règle de routage intra-VCN à la table de routage IGW qui spécifie un CIDR de destination au sein du CIDR du VCN (par exemple, 10.0.1.0/24) et ciblez l'adresse IP du pare-feu (par exemple, 10.0.2.2).
  5. Mettez à jour la table de routage du sous-réseau public pour acheminer tout le trafic vers Internet au moyen du pare-feu.
  6. Mettez à jour le sous-réseau DMZ pour acheminer le trafic vers Internet au moyen de la passerelle Internet.

    Cette image présente le routage à partir d'une passerelle Internet vers un pare-feu.
    Légende 1 : Table de routage de passerelle Internet (IGW)
    CIDR de destination Cible de routage
    VCN (10.0.0.0/16) Pare-feu de réseau (10.0.2.2)
    Légende 2 : Table de routage de sous-réseau DMZ
    CIDR de destination Cible de routage
    0.0.0.0/0 IGW
    Légende 3 : Table de routage de sous-réseau public
    CIDR de destination Cible de routage
    0.0.0.0/0 Pare-feu de réseau (10.0.2.2)
Acheminer le trafic intra-VCN au moyen d'un pare-feu

Dans cet exemple, le trafic est acheminé du sous-réseau A vers le pare-feu. À partir du pare-feu, le trafic est acheminé vers le sous-réseau B à l'aide du bloc CIDR implicite 10.0.0.0vers "local" (non affiché).

  1. Créez le sous-réseau A dans le VCN.
  2. Créez le sous-réseau B dans le VCN.
  3. Créez un sous-réseau DMZ dans le réseau en nuage virtuel.
  4. Dans le sous-réseau DMZ, créez un pare-feu et associez-le à une politique.
  5. Ajoutez une règle de routage intra-VCN à la table de routage du sous-réseau A qui spécifie un CIDR de destination au sein du CIDR du VCN (par exemple, 10.0.1.0/24) et ciblez l'adresse IP du pare-feu (par exemple, 10.0.2.2).
  6. Ajoutez une règle de routage au sous-réseau B qui spécifie la destination du VCN (10.0.3.0/24) au moyen du pare-feu.

    Cette image présente le routage intra-VCN au moyen du pare-feu de réseau.
    Légende 1 : Table de routage du sous-réseau privé régional A
    CIDR de destination Cible de routage
    Sous-réseau B (10.0.1.0/24) Pare-feu de réseau (10.0.2.2)
    Légende 2 : Table de routage du sous-réseau privé régional B
    CIDR de destination Cible de routage
    Sous-réseau A (10.0.3.0/24) Pare-feu de réseau (10.0.2.2)