この図は、セキュア・パブリック・サブネットのパブリックVMからNATゲートウェイを介したネットワーク・ファイアウォールを介したインターネットへの南北アウトバウンド・トラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。

セキュアなVCN (10.10.0.0/16)には、次のコンポーネントが含まれています。

• ネットワーク・ファイアウォールとファイアウォールIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。パブリック・サブネットのワークロードを保護するため、ファイアウォール・サブネットがパブリック・サブネットにあることを確認します。同じファイアウォールを使用して東西南北のトラフィックを保護できますが、パブリック・ワークロードを保護し、インターネット・ゲートウェイのイングレス・ルーティング機能を使用する場合は、ファイアウォールをパブリック・サブネットにデプロイする必要があります。
• アプリケーション・ワークロードを含むセキュアなプライベート・サブネット(10.10.0.0/24)。このサブネットでは、10.10.0.10プライベートIPを持つVMを使用できます。
• エグレス・インターネット接続をサポートするNAT Gateway。
• ルート表はファイアウォール・サブネット、セキュア・プライベート・サブネットおよびNATゲートウェイに関連付けられ、トラフィックがネットワーク・ファイアウォールを介してルーティングされます。

NAT Gatewayを使用した仮想マシンからインターネットへの南北のトラフィック・フローは、次のとおりです。

1. ワークロードVM (10.10.0.10)からインターネット宛先(8.8.8.8)に移動するトラフィックは、Secured Subnet Route Table (宛先0.0.0.0/0)を介してルーティングされます。
2. セキュア・サブネット・ルート表からのトラフィックは、インターネット宛先に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
3. ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォールIPアドレスからファイアウォールサブネットのルートテーブル(宛先 0.0.0.0/0)を介して終了します。
4. ファイアウォール・サブネットのルート表は、トラフィックをNAT Gatewayおよびインターネット宛先に送信します。
5. 戻りトラフィックはインターネットからNATゲートウェイに送られ、各ルート表で対称ルーティングが行われているため、同じパスに従います。