Questa immagine mostra il flusso di traffico in uscita nord-sud da una VM pubblica in una subnet pubblica protetta a Internet tramite un firewall di rete tramite il gateway NAT. Include una VCN sicura ma allo stesso modo è possibile avere più VCN protetti.

La VCN protetta (10.10.0.0/16) include i seguenti componenti:
  • Subnet firewall (10.10.1.0/24) che include un indirizzo IP di firewall di rete e firewall. Assicurarsi che la subnet del firewall si trovi in una subnet pubblica in quanto sta proteggendo i carichi di lavoro della subnet pubblica. È comunque possibile utilizzare lo stesso firewall per proteggere il traffico est-ovest e nord-sud, ma se si proteggono i carichi di lavoro pubblici e si desidera utilizzare la funzionalità di instradamento in entrata del gateway Internet, è necessario distribuire il firewall in una subnet pubblica.
  • Subnet privata protetta (10.10.0.0/24) che include i carichi di lavoro dell'applicazione. In questa subnet è disponibile una VM con l'IP privato 10.10.0.10.
  • Gateway NAT per supportare la connessione Internet in uscita.
  • Le tabelle di instradamento vengono associate alla subnet del firewall, alla subnet privata protetta e al gateway NAT in modo che il traffico venga instradato tramite un firewall di rete.
Il flusso di traffico nord-sud dalla virtual machine a Internet mediante il gateway NAT è il seguente:
  1. Il traffico che passa dalla VM del carico di lavoro (10.10.0.10) alla destinazione Internet (8.8.8.8) viene instradato tramite la tabella di instradamento della subnet protetta (destinazione 0.0.0.0/0).
  2. Il traffico dalla tabella di instradamento della subnet protetta passa all'indirizzo IP del firewall di rete in base alla destinazione Internet.
  3. Il firewall ispeziona e protegge il traffico in base ai criteri del firewall. Una volta eseguita l'ispezione e la protezione, il traffico viene interrotto dall'indirizzo IP del firewall attraverso la tabella di instradamento della subnet del firewall (destinazione 0.0.0.0/0).
  4. La tabella di instradamento della subnet firewall invia il traffico al gateway NAT e alla destinazione Internet.
  5. Il traffico di ritorno viene da Internet al gateway NAT e seguirà lo stesso percorso poiché abbiamo un instradamento simmetrico in posizione su ciascuna tabella di instradamento.