Questa immagine mostra i flussi di traffico in entrata nord-sud da una VM on premise a una VM in una subnet privata sicura tramite Network Firewall. Include una VCN sicura ma allo stesso modo è possibile avere più VCN protetti.

La VCN-A protetta (10.10.0.0/16) include i seguenti componenti:
  • Subnet firewall (10.10.1.0/24) che include un firewall di rete e l'indirizzo IP associato. Assicurarsi che la subnet del firewall si trovi in una subnet privata in quanto sta proteggendo i carichi di lavoro della subnet privata.
  • Subnet privata protetta (10.10.0.0/24) che include i carichi di lavoro dell'applicazione. In questa subnet è disponibile una VM con indirizzo IP privato 10.10.0.10.
  • Gateway di instradamento dinamico per supportare la connettività on premise alla VCN protetta tramite FastConnect e/o VPN. Il gateway DRG dispone di un collegamento alla VCN protetta e alla tabella di instradamento in entrata VCN associata collegata a tale collegamento.
  • Le tabelle di instradamento sono associate a Subnet firewall, Subnet privata protetta e gateway Internet che garantiscono che il traffico venga instradato tramite firewall di rete.
Flusso di traffico Nord-Sud dalla VM on premise alla Virtual Machine in Subnet privata protetta:
  1. Il traffico che si sposta dalla destinazione in locale (172.16.10.10) alla VM del carico di lavoro (10.10.0.10) viene instradato tramite il gateway di instradamento dinamico (destinazione 10.10.0.0/24).
  2. Il traffico dal collegamento della VCN protetta DRG e tramite la tabella di instradamento di entrata VCN viene indirizzato all'indirizzo IP del firewall di rete in base alla destinazione (10.10.0.10).
  3. Il firewall ispeziona e protegge il traffico in base ai criteri del firewall. Una volta eseguita l'ispezione e la protezione, il traffico viene interrotto dall'indirizzo IP del firewall attraverso la tabella di instradamento della subnet del firewall (destinazione 10.10.0.0/24).
  4. La tabella di instradamento della subnet firewall invia la destinazione richiesta.
  5. Il traffico di restituzione viene dalla VM privata protetta al firewall di rete e seguirà lo stesso percorso poiché abbiamo il routing simmetrico in atto su ciascuna tabella di instradamento.