Questa immagine mostra il flusso di traffico in uscita da nord a sud da una VM pubblica in una subnet pubblica protetta a Internet tramite firewall di rete tramite gateway NAT. Include una VCN sicura, ma allo stesso modo puoi avere più VCN protette.
La VCN protetta (10.10.0.0/16) include i componenti riportati di seguito.
- Subnet del firewall (10.10.1.0/24), che include un firewall di rete e un indirizzo IP del firewall. Assicurati che la subnet del firewall si trovi in una subnet pubblica poiché stiamo proteggendo i carichi di lavoro della subnet pubblica. È comunque possibile utilizzare lo stesso firewall per proteggere il traffico est-ovest e nord-sud, ma se si proteggono i carichi di lavoro pubblici e si desidera utilizzare la funzionalità di instradamento in entrata del gateway Internet, è necessario distribuire il firewall in una subnet pubblica.
- Subnet privata protetta (10.10.0.0/24), che include carichi di lavoro dell'applicazione. In questa subnet è disponibile una VM con IP privato 10.10.0.10.
- Gateway NAT per supportare la connessione Internet in uscita.
- Le tabelle di instradamento sono associate alla subnet firewall, alla subnet privata protetta e al gateway NAT, garantendo che il traffico venga instradato tramite firewall di rete.
Il flusso di traffico da Nord a Sud dalla virtual machine a Internet utilizzando il gateway NAT è il seguente:
- Il traffico che si sposta dalla VM del carico di lavoro (10.10.0.10) alla destinazione Internet (8.8.8.8) viene instradato tramite la tabella di instradamento della subnet protetta (destinazione 0.0.0.0/0).
- Il traffico dalla tabella di instradamento della subnet protetta viene indirizzato all'indirizzo IP del firewall di rete in base alla destinazione Internet.
- Il firewall ispeziona e protegge il traffico in base ai criteri del firewall. Una volta ispezionato e protetto, il traffico esce dall'indirizzo IP del firewall attraverso la tabella di instradamento della subnet del firewall (destinazione 0.0.0.0/0).
- La tabella di instradamento della subnet firewall invia il traffico al gateway NAT e alla destinazione Internet.
- Il traffico di ritorno proviene da Internet al gateway NAT e seguirà lo stesso percorso poiché abbiamo un instradamento simmetrico in posizione su ogni tabella di instradamento.