Documentazione dell'infrastruttura Oracle Cloud

Instradamento del traffico di rete a un firewall

Scenari che mostrano come instradare il traffico di rete a un firewall.

Questo argomento mostra gli scenari per l'instradamento del traffico a un firewall di rete. Per ulteriori informazioni sull'instradamento di rete, vedere Tabelle di instradamento VCN e Instradamento VCN.

Per ottenere prestazioni migliori, è consigliabile non aggiungere regole con conservazione dello stato alla lista di sicurezza collegata alla subnet del firewall o includere il firewall in un gruppo di sicurezza di rete (NSG) contenente regole con conservazione dello stato.

Le regole della lista di sicurezza o del gruppo di sicurezza di rete (NSG) associate alla subnet del firewall e alle VNIC vengono valutate prima del firewall. Assicurarsi che tutte le liste di sicurezza o le regole NSG consentano al traffico di entrare nel firewall in modo che possa essere valutato in modo appropriato.

Se il criterio utilizzato con il firewall non include regole specificate, il firewall nega tutto il traffico.

Instrada il traffico in locale tramite un firewall

Esempio di impostazione dell'instradamento da una rete in locale alla VCN mediante un gateway di instradamento dinamico (DRG, Dynamic Routing Gateway).

  1. Creare una subnet DMZ nella VCN.
  2. Nella subnet DMZ, creare un firewall e associarlo a un criterio firewall.
  3. Creare un gateway di instradamento dinamico (DRG).
  4. Creare una tabella di instradamento DRG.
  5. Collega la VCN al gateway DRG. Durante l'impostazione del collegamento, associare la tabella di instradamento DRG al collegamento come specificato nel passo 6 della procedura Collega la VCN alle istruzioni DRG.
  6. Aggiungere una regola di instradamento intra-VCN alla tabella di instradamento DRG che specifica un CIDR di destinazione all'interno del CIDR VCN (ad esempio, 10.0.1.0/24) e definire la destinazione dell'indirizzo IP del firewall (ad esempio, 10.0.2.2).
  7. Aggiorna la subnet privata per instradare tutto il traffico in locale o in altre aree tramite il firewall.
  8. Aggiorna la subnet DMZ per instradare il traffico in locale o in un'altra VCN nella stessa o in aree diverse tramite il gateway DRG.

    Questa immagine mostra l'instradamento in locale a una VCN che utilizza un gateway DRG.
    Callout 1: tabella di instradamento (DRG) dinamico gateway
    CIDR di destinazione Destinazione instradamento
    0.0.0.0/0 Firewall di rete (10.0.2.2)
    Callout 2: tabella di instradamento subnet DMZ
    CIDR di destinazione Destinazione instradamento
    0.0.0.0/0 DRG
    Callout 3: tabella di instradamento subnet DMZ
    CIDR di destinazione Destinazione instradamento
    0.0.0.0/0 Firewall di rete (10.0.2.2)
Instrada il traffico Internet attraverso un firewall

In questo esempio il routing viene configurato da Internet al firewall. Il traffico viene instradato dall'IGW, attraverso il firewall e quindi dalla subnet del firewall a una subnet pubblica.

  1. Creare una subnet DMZ nella VCN.
  2. Nella subnet DMZ, creare un firewall e associarlo a un criterio.
  3. Creare un gateway Internet nella VCN.
  4. Aggiungere una regola di instradamento intra-VCN alla tabella di instradamento IGW che specifica un CIDR di destinazione all'interno del CIDR VCN (ad esempio, 10.0.1.0/24) e definire la destinazione dell'indirizzo IP del firewall (ad esempio, 10.0.2.2)
  5. Aggiornare la tabella di instradamento della subnet pubblica per instradare tutto il traffico a Internet tramite il firewall.
  6. Aggiornare la subnet DMZ per instradare il traffico a Internet tramite IGW.

    Questa immagine mostra l'instradamento da un gateway Internet a un firewall.
    Callout 1: tabella di instradamento del gateway Internet (IGW)
    CIDR di destinazione Destinazione instradamento
    VCN (10.0.0.0/16) Firewall di rete (10.0.2.2)
    Callout 2: tabella di instradamento subnet DMZ
    CIDR di destinazione Destinazione instradamento
    0.0.0.0/0 IGW
    Callout 3: Tabella di instradamento della subnet pubblica
    CIDR di destinazione Destinazione instradamento
    0.0.0.0/0 Firewall di rete (10.0.2.2)
Instrada il traffico all'interno della rete VCN tramite un firewall

In questo esempio, il traffico viene instradato dalla subnet A al firewall. Dal firewall, il traffico viene instradato alla subnet B utilizzando l'implicito 10.0.0.0 a "local" (non visualizzato).

  1. Crea la subnet A nella VCN.
  2. Crea la subnet B nella VCN.
  3. Creare una subnet DMZ nella VCN.
  4. Nella subnet DMZ, creare un firewall e associarlo a un criterio.
  5. Aggiungere una regola di instradamento intra-VCN alla tabella di instradamento della subnet A che specifichi un CIDR di destinazione all'interno del CIDR VCN (ad esempio, 10.0.1.0/24) e definire la destinazione dell'indirizzo IP del firewall (ad esempio, 10.0.2.2)
  6. Aggiungere una regola di instradamento alla subnet B che specifichi la destinazione con la VCN (10.0.3.0/24) tramite il firewall.

    Questa immagine mostra l'instradamento all'interno della rete VCN tramite il firewall di rete.
    Callout 1: Subnet privata regionale - Tabella di instradamento A
    CIDR di destinazione Destinazione instradamento
    Subnet B (10.0.1.0/24) Firewall di rete (10.0.2.2)
    Callout 2: tabella di instradamento B della subnet privata regionale
    CIDR di destinazione Destinazione instradamento
    Subnet A (10.0.3.0/24) Firewall di rete (10.0.2.2)