Questa immagine mostra il flusso di traffico in entrata nord-sud da Internet a una VM pubblica in una subnet pubblica protetta tramite Network Firewall. Include una VCN sicura ma allo stesso modo è possibile avere più VCN protetti.

La VCN protetta (10.10.0.0/16) include i seguenti componenti:
  • Subnet firewall (10.10.1.0/24) che include un indirizzo IP di firewall di rete e firewall. Assicurarsi che la subnet del firewall si trovi in una subnet pubblica in quanto sta proteggendo i carichi di lavoro della subnet pubblica. È comunque possibile utilizzare lo stesso firewall per proteggere il traffico est-ovest e nord-sud, ma se si proteggono i carichi di lavoro pubblici e si desidera utilizzare la funzionalità di instradamento in entrata del gateway Internet, è necessario distribuire il firewall in una subnet pubblica.
  • Subnet pubblica protetta (10.10.0.0/24) che include i carichi di lavoro dell'applicazione. In questa subnet è disponibile una VM con l'IP privato 10.10.0.10 e un IP pubblico associato.
  • Gateway Internet per supportare la connessione Internet.
  • Tabelle di instradamento associate a subnet firewall, subnet pubblica protetta e gateway Internet che garantiscono che il traffico venga instradato tramite firewall di rete.
Flusso di traffico nord-sud da Internet alla macchina virtuale come segue:
  1. Il traffico che si sposta da Internet alla VM del carico di lavoro (10.10.0.10) utilizzando l'IP pubblico della VM viene instradato tramite la tabella di instradamento del gateway Internet (destinazione 10.10.0.0/24).
  2. Il traffico dalla tabella di instradamento di Internet Gateway passa all'indirizzo IP di Network Firewall in base alla destinazione VM del carico di lavoro (10.10.0.10).
  3. Il firewall ispeziona e protegge il traffico in base ai criteri del firewall. Una volta eseguita l'ispezione e la protezione, il traffico viene interrotto dall'indirizzo IP del firewall attraverso la tabella di instradamento della subnet del firewall (destinazione 10.10.0.0/24).
  4. La tabella di instradamento della subnet firewall invia il traffico alla VM del carico di lavoro.
  5. Il traffico di restituzione proviene dalla VM del carico di lavoro e seguirà lo stesso percorso in quanto è presente l'instradamento simmetrico in ogni tabella di instradamento.