Documentation Oracle Cloud Infrastructure

Routage du trafic réseau vers un pare-feu

Scénarios illustrant comment acheminer le trafic réseau vers un pare-feu.

Cette rubrique présente des scénarios de routage du trafic vers un pare-feu réseau. Pour plus d'informations sur le routage réseau, reportez-vous aux sections Tables de routage VCN et Routage intra-VCN.

Pour de meilleures performances, envisagez de ne pas ajouter de règles avec état à la liste de sécurité attachée au sous-réseau du pare-feu, ou d'inclure le pare-feu dans un groupe de sécurité réseau qui contient des règles avec état.

Les règles de liste de sécurité ou de groupe de sécurité réseau associées aux cartes d'interface réseau virtuelles et au sous-réseau du pare-feu sont évaluées avant le pare-feu. Assurez-vous que les règles de liste de sécurité ou de groupe de sécurité réseau autorisent le trafic à entrer dans le pare-feu afin qu'il puisse être évalué de façon appropriée.

Si aucune règle n'est spécifiée dans la stratégie que vous utilisez avec le pare-feu, celui-ci refuse tout le trafic.

Acheminer le trafic sur site via un pare-feu

Exemple de configuration du routage d'un réseau sur site vers votre VCN à l'aide d'une passerelle de routage dynamique (DRG).

  1. Créez un sous-réseau de zone démilitarisée (DMZ) dans le réseau cloud virtuel.
  2. Dans le sous-réseau de zone DM, créez un pare-feu et associez-le à une stratégie de pare-feu.
  3. Créez une passerelle de routage dynamique.
  4. Créez une table de routage de passerelle de routage dynamique.
  5. Attachez le réseau cloud virtuel à la passerelle de routage dynamique. Lors de la configuration de l'attachement, associez la table de routage de la passerelle de routage dynamique à l'attachement comme indiqué à l'étape 6 des instructions permettant d'attacher le réseau cloud virtuel à la passerelle de routage dynamique.
  6. Ajoutez à la table de routage de la passerelle de routage dynamique une règle de routage intra-réseau cloud virtuel qui indique un CIDR de destination dans le CIDR de réseau cloud virtuel (par exemple, 10.0.1.0/24) et ciblez l'adresse IP du pare-feu (par exemple, 10.0.2.2).
  7. Mettez à jour le sous-réseau privé pour acheminer l'ensemble du trafic vers le réseau sur site ou d'autres régions via le pare-feu.
  8. Mettez à jour le sous-réseau de zone démilitarisée pour acheminer le trafic vers le réseau sur site ou un autre réseau cloud virtuel dans la même région ou dans d'autres régions via la passerelle de routage dynamique.

    Cette image montre le routage sur site vers un réseau cloud virtuel à l'aide d'une passerelle de routage dynamique.
    Appel 1 : table de routage de la passerelle de routage dynamique
    CIDR de destination Cible du routage
    0.0.0.0/0 Network Firewall (10.0.2.2)
    Appel 2 : table de routage du sous-réseau de zone démilitarisée (DMZ)
    CIDR de destination Cible du routage
    0.0.0.0/0 Passerelle de routage dynamique
    Appel 3 : table de routage du sous-réseau de zone démilitarisée (DMZ)
    CIDR de destination Cible du routage
    0.0.0.0/0 Network Firewall (10.0.2.2)
Acheminer le trafic Internet via un pare-feu

Dans cet exemple, le routage part d'Internet en direction du pare-feu. Le trafic est acheminé à partir de la passerelle Internet, passe par le pare-feu, puis passe du sous-réseau du pare-feu à un sous-réseau public.

  1. Créez un sous-réseau de zone démilitarisée (DMZ) dans le réseau cloud virtuel.
  2. Dans le sous-réseau de zone démilitarisée, créez un pare-feu et associez-le à une stratégie.
  3. Créez une passerelle Internet dans le réseau cloud virtuel.
  4. Ajoutez à la table de routage de la passerelle Internet une règle de routage intra-réseau cloud virtuel qui indique un CIDR de destination dans le CIDR de réseau cloud virtuel (par exemple, 10.0.1.0/24) et ciblez l'adresse IP du pare-feu (par exemple, 10.0.2.2).
  5. Mettez à jour la table de routage du sous-réseau public pour acheminer l'ensemble du trafic vers Internet via le pare-feu.
  6. Mettez à jour le sous-réseau de zone démilitarisée pour acheminer le trafic vers Internet via la passerelle Internet.

    Cette image montre le routage partant d'une passerelle Internet à destination d'un pare-feu.
    Appel 1 : table de routage de la passerelle Internet
    CIDR de destination Cible du routage
    Réseau cloud virtuel (10.0.0.0/16) Network Firewall (10.0.2.2)
    Appel 2 : table de routage du sous-réseau de zone démilitarisée (DMZ)
    CIDR de destination Cible du routage
    0.0.0.0/0 Passerelle Internet
    Appel 3 : table de routage du sous-réseau public
    CIDR de destination Cible du routage
    0.0.0.0/0 Network Firewall (10.0.2.2)
Acheminer le trafic intra-VCN via un pare-feu

Dans cet exemple, le trafic est acheminé du sous-réseau A vers le pare-feu. A partir du pare-feu, le trafic est acheminé vers le sous-réseau B à l'aide de l'adresse implicite 10.0.0.0 vers "local" (non visible).

  1. Créez le sous-réseau A dans le réseau cloud virtuel.
  2. Créez le sous-réseau B dans le réseau cloud virtuel.
  3. Créez un sous-réseau de zone démilitarisée (DMZ) dans le réseau cloud virtuel.
  4. Dans le sous-réseau de zone démilitarisée, créez un pare-feu et associez-le à une stratégie.
  5. Ajoutez à la table de routage du sous-réseau A une règle de routage intra-réseau cloud virtuel qui indique un CIDR de destination dans le CIDR de réseau cloud virtuel (par exemple, 10.0.1.0/24) et ciblez l'adresse IP du pare-feu (par exemple, 10.0.2.2).
  6. Ajoutez une règle de routage au sous-réseau B qui spécifie la destination avec le VCN (10.0.3.0/24) via le pare-feu.

    Cette image présente le routage intra-réseau cloud virtuel via le pare-feu réseau.
    Appel 1 : table de routage du sous-réseau privé régional A
    CIDR de destination Cible du routage
    Sous-réseau B (10.0.1.0/24) Network Firewall (10.0.2.2)
    Appel 2 : table de routage du sous-réseau privé régional B
    CIDR de destination Cible du routage
    Sous-réseau A (10.0.3.0/24) Network Firewall (10.0.2.2)