Questa immagine mostra un'architettura di rete in cui le risorse interne e private sono isolate in subnet separate, 10.0.1.0/24 e 10.0.2.0/24 all'interno della VCN 10.0.0.0/16.

• Il traffico tra 10.0.1.0/24 e Internet avviene tramite un gateway Internet. Una regola di instradamento indirizza il traffico indirizzato per la rete Internet pubblica tramite il gateway Internet. Una regola di sicurezza con conservazione dello stato consente il traffico in entrata da qualsiasi host alla porta 80. Un'altra regola di sicurezza con conservazione dello stato consente al traffico TCP/1521 di spostarsi su 10.0.2.0/24.
• Le risorse del 10.0.2.0/24 non hanno connettività diretta a Internet pubblico. Una regola di instradamento indirizza il traffico in uscita al gateway NAT, al gateway di servizio o al gateway di instradamento dinamico (DRG). Una regola di sicurezza con conservazione dello stato consente il traffico in entrata TCP/1521 da 10.0.1.0/24.