この図は、セキュアなパブリック・サブネットのパブリックVMからネットワーク・ファイアウォールを介したインターネットへの南北アウトバウンド・トラフィック・フローを示しています。これには1つのセキュアなVCNが含まれますが、同様に複数の保護されたVCNを持つことができます。

セキュアなVCN (10.10.0.0/16)には、次のコンポーネントが含まれています。

• ネットワーク・ファイアウォールとそれに関連付けられたIPアドレスを含むファイアウォール・サブネット(10.10.1.0/24)。パブリック・サブネットのワークロードを保護するため、ファイアウォール・サブネットがパブリック・サブネットにあることを確認します。
• アプリケーション・ワークロードを含むセキュア・パブリック・サブネット(10.10.0.0/24)。このサブネットでは、10.10.0.10プライベートIPとパブリックIPを持つVMを使用できます。
• インターネット接続からサポートするインターネット・ゲートウェイ。
• ルート表は、トラフィックがネットワーク・ファイアウォールを介してルーティングされるように、ファイアウォール・サブネット、セキュア・パブリック・サブネットおよびインターネット・ゲートウェイに関連付けられます。

仮想マシンからインターネットへの南北トラフィックは次のように流れます。

1. ワークロードVM (10.10.0.10)からインターネット宛先(8.8.8.8)に移動するトラフィックは、Secured Subnet Route Table (宛先0.0.0.0/0)を介してルーティングされます。
2. セキュア・サブネット・ルート表からのトラフィックは、インターネット宛先に基づいてネットワーク・ファイアウォールのIPアドレスに送信されます。
3. ファイアウォールは、ファイアウォール・ポリシーに従ってトラフィックを検査および保護します。検査および保護されると、トラフィックはファイアウォールIPアドレスからファイアウォールサブネットのルートテーブル(宛先 0.0.0.0/0)を介して終了します。
4. ファイアウォール・サブネットのルート表は、トラフィックをインターネット・ゲートウェイおよびインターネット宛先に送信します。
5. 戻りトラフィックはインターネットからインターネット・ゲートウェイに送られ、各ルート表で対称ルーティングが行われているため、同じパスに従います。