Cette image présente le flux de trafic sortant nord-sud d'une machine virtuelle publique d'un sous-réseau public sécurisé vers Internet via le pare-feu réseau via une passerelle NAT. Il inclut un VCN sécurisé, mais vous pouvez également disposer de plusieurs réseaux cloud virtuels sécurisés.
Le VCN sécurisé (10.10.0.0/16) inclut les composants suivants :
- Sous-réseau de pare-feu (10.10.1.0/24) qui inclut une adresse IP de pare-feu réseau et de pare-feu. Assurez-vous que le sous-réseau de pare-feu se trouve dans un sous-réseau public car nous protégeons les charges globales de sous-réseau public. Vous pouvez toujours utiliser le même pare-feu pour protéger le trafic est-ouest et nord-sud, mais si vous protégez les charges globales publiques et souhaitez utiliser la fonctionnalité de routage entrant de passerelle Internet, vous devez déployer le pare-feu dans un sous-réseau public.
- Sous-réseau privé sécurisé (10.10.0.0/24) qui inclut les charges globales d'application. Une machine virtuelle est disponible dans ce sous-réseau avec une adresse IP privée 10.10.0.10.
- Passerelle NAT pour prendre en charge la connexion Internet sortante.
- Les tables de routage sont associées au sous-réseau de pare-feu, au sous-réseau privé sécurisé et à la passerelle NAT, ce qui garantit que le trafic est acheminé via le pare-feu réseau.
Le flux de trafic nord-sud de la machine virtuelle vers Internet à l'aide de la passerelle NAT est le suivant :
- Le trafic qui passe de la machine virtuelle de charge globale (10.10.0.10) à la destination Internet (8.8.8.8) est acheminé via la table de routage de sous-réseau sécurisé (destination 0.0.0.0/0).
- Le trafic de la table de routage de sous-réseau sécurisé accède à l'adresse IP du pare-feu réseau en fonction de la destination Internet.
- Le pare-feu inspecte et protège le trafic conformément à la stratégie de pare-feu. Une fois inspecté et protégé, le trafic quitte l'adresse IP du pare-feu via la table de routage du sous-réseau du pare-feu (destination 0.0.0.0/0).
- La table de routage de sous-réseau de pare-feu envoie le trafic à la passerelle NAT et à la destination Internet.
- Le trafic de retour provient d'Internet vers la passerelle NAT et suit le même chemin, car le routage symétrique est en place sur chaque table de routage.