주:
- 이 사용지침서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
- Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 마칠 때는 이러한 값을 클라우드 환경과 관련된 값으로 대체하십시오.
Oracle Cloud Infrastructure Network Firewall으로 웹사이트 및 애플리케이션 보호
소개
Oracle Cloud Infrastructure(OCI) Network Firewall은 Palo Alto Networks®를 기반으로 하는 Oracle Cloud Infrastructure VCN을 위한 차세대 관리형 네트워크 방화벽 및 침입 감지 및 예방 서비스입니다.
OCI 로드 밸런서 서비스는 한 시작점에서 VCN(가상 클라우드 네트워크)에서 도달할 수 있는 여러 서버로 자동으로 트래픽 분배를 제공합니다. 이 서비스에서는 다양한 퍼블릭 또는 프라이빗 IP 주소와 프로비저닝된 대역폭을 사용하는 로드 밸런서를 제공합니다.
DRG(동적 경로 지정 게이트웨이)는 가상 라우터 역할을 하여 온프레미스 네트워크와 VCN 간의 트래픽 경로를 제공하며 VCN 간 트래픽 경로를 지정하는 데도 사용할 수 있습니다. 다양한 유형의 첨부 파일을 사용하여 여러 영역 및 테넌시의 구성요소를 사용하여 사용자정의 네트워크 토폴로지를 구성할 수 있습니다.
동적 라우팅 게이트웨이와 연결된 OCI 로드 밸런서와 함께 OCI 네트워크 방화벽을 사용하면 전용 VPN 내에 배포된 웹 사이트 또는 애플리케이션에 지정된 남북 트래픽을 보호할 수 있습니다.
구조
이 자습서에서는 OCI 네트워크 방화벽 및 OCI 로드 밸런서 기능을 테스트할 새 환경이 생성됩니다. 이것이 우리가 사용할 최종 구조입니다.
공용 VCN과 전용 VCN이라는 별도의 VCN이 있습니다. 이 두 VCN은 네트워크 방화벽 및 로드 밸런서 인프라와 전용 환경에서 당사 웹 사이트와 함께 백엔드 서버를 호스팅합니다.
목표
- OCI 네트워크 방화벽 및 OCI 로드 밸런서를 사용하여 여러 백엔드에 배치된 여러 웹 사이트 및 애플리케이션으로 향하는 트래픽을 보호합니다.
필요 조건
-
OCI 테넌시에 액세스합니다.
-
테넌시에 설정된 가상 클라우드 네트워크입니다.
-
OCI 로그, 네트워크 방화벽, 네트워킹 및 컴퓨트에 대한 모든 정책 설정입니다.
작업 1: 네트워킹 요소 만들기
공용 및 전용 VCN, 서브넷 및 DRG를 생성합니다.
작업 1.1: 공용 및 전용 VCN 생성
-
VCN을 생성하려면 OCI 콘솔로 이동하여 가상 클라우드 네트워크를 누르십시오.
-
VCN 생성을 누릅니다.
-
가상 클라우드 네트워크 생성 페이지에서 필요한 정보를 입력합니다.
-
환경에 만들 각 VCN에 대해 1-3단계를 반복합니다.
작업 1.2: 서브넷 생성
두 VCN이 생성되면 각 VCN 내에 서브넷을 생성해야 OCI 네트워크 방화벽, 로드 밸런서 및 액세스할 웹 사이트를 호스트할 서버를 호스트할 수 있습니다.
각 VCN에 대해 다음 서브넷이 제공됩니다.
- VCN 공용:
- Subnet_FW: CIDR
10.0.0.0/24
가 있는 OCI 네트워크 방화벽이 배치될 서브넷입니다. - Subnet_LB: CIDR
10.0.1.0/24
가 있는 OCI 로드 밸런서가 배치될 서브넷입니다.
- Subnet_FW: CIDR
- VCN 전용:
- Subnet_App1: App1 사이트를 호스트하는 서버가 CIDR
192.168.0.0/24
와 함께 배치될 서브넷입니다. - Subnet_App2: App2 사이트를 호스트하는 서버가 CIDR
192.168.0.0/24
와 함께 배치될 서브넷입니다.
- Subnet_App1: App1 사이트를 호스트하는 서버가 CIDR
-
각 VCN 이름을 눌러 서브넷을 생성합니다.
-
서브넷 생성을 누릅니다.
-
서브넷 생성 페이지에서 필요한 정보를 입력합니다.
- 이름: 서브넷 이름을 입력합니다.
- 구획: 서브넷이 생성될 구획을 선택합니다.
- 서브넷 유형: 권장 사항에 따라 지역을 선택합니다.
- IPv4 CIDR 블록: 서브넷에 대해 원하는 CIDR을 입력합니다. 이 자습서에서는 작업 1.2에서 주소를 정의했습니다.
- 서브넷 액세스: 방화벽 및 로드 밸런서가 설치될 서브넷의 경우 공용 서브넷을 선택합니다. 애플리케이션 또는 웹 사이트 서버가 설치될 서브넷용입니다.
-
필요한 정보를 모두 입력했으면 서브넷 생성을 누릅니다.
참고: 생성된 VCN의 보안 목록에서 해당 환경에서 트래픽을 사용할 수 있는지 확인하는 것을 잊지 마십시오. 예를 들어, 네트워크 방화벽을 통한 HTTP 액세스를 허용하려는 경우 보안 목록에서 VCN에 대한 이 인바운드 트래픽을 허용해야 합니다.
작업 1.3: DRG(동적 경로 지정 게이트웨이) 생성
DRG는 OCI 네트워크 방화벽 및 OCI 로드 밸런서를 포함하는 공용 VCN과 인터넷을 통해 액세스할 서버가 포함될 전용 VCN을 상호 연결하는 라우터입니다.
-
DRG를 생성하려면 OCI 콘솔로 이동하여 네트워킹 및 동적 경로 지정 게이트웨이를 누릅니다.
-
동적 경로 지정 게이트웨이 페이지에서 동적 경로 지정 게이트웨이 생성을 누릅니다.
-
DRG의 이름을 입력하고 동적 경로 지정 게이트웨이 생성을 누릅니다.
생성이 완료될 때까지 기다리면 DRG 수명 주기 상태가 사용 가능으로 표시됩니다.
-
생성이 완료되면 DRG를 눌러 세부정보를 확인하고 생성할 VCN 간 접속에 필요한 연결을 생성합니다.
-
DRG 경로 지정 테이블 및 DRG 경로 분포를 생성하면 연결 간에 트래픽을 경로 지정하는 경로 지정 정책을 정의할 수 있습니다.
-
단일 DRG에 여러 VCN을 연결할 수 있으며, 이러한 연결을 통해 DRG 라우팅 기능을 사용하여 VCN 간에 트래픽을 라우팅할 수 있습니다.
-
-
작업 1.1에서 생성된 VCN을 연결하려면 가상 클라우드 네트워크 연결 생성을 누릅니다.
-
새 창이 열립니다. 연결 이름을 입력하고 생성 중인 연결을 통해 DRG에 연결해야 할 VCN을 선택합니다. VCN 연결 생성을 눌러 생성을 완료합니다.
- 첨부 파일 이름:
att_public
. - 가상 클라우드 네트워크:
Public_VCN
.
- 첨부 파일 이름:
-
VCN Private_VCN에 대해 1-5단계를 반복합니다.
작업 2: OCI 네트워크 방화벽 생성
OCI 네트워크 방화벽을 생성하기 전에 방화벽에서 사용할 정책을 생성해야 합니다. 이 작업에서는 HTTP 트래픽만 허용하는 정책 생성이 간단합니다. 그러나 OCI 네트워크 방화벽은 암호화된 트래픽을 검사할 수 있으며 고급 L7 방화벽 기능을 제공합니다.
OCI 네트워크 방화벽 서비스의 기능에 대한 자세한 내용은 OCI 네트워크 방화벽을 참조하십시오.
작업 2.1: 네트워크 방화벽 정책 생성
주: 운용 환경의 경우 규칙은 가능한 한 구체적이며 액세스가 가장 적은 정책은 항상 존중됩니다. 이 튜토리얼에서 사용되는 예제는 순수하게 교육적이며 실제 운용 환경에서 재생산해서는 안 됩니다.
-
네트워크 방화벽에 배치될 정책을 생성하려면 OCI 콘솔로 이동하여 ID 및 보안 및 네트워크 방화벽 정책을 누릅니다.
-
네트워크 방화벽 정책 페이지에서 네트워크 방화벽 정책 생성을 눌러 방화벽 규칙 생성을 시작합니다.
-
마법사가 요청할 때 정보를 입력하고 네트워크 방화벽 정책 생성을 누릅니다.
주: OCI 네트워크 방화벽 정책 내에서 구성할 수 있는 매개변수에 대한 자세한 내용은 정책 및 네트워크 방화벽 서비스 정책 생성을 참조하십시오.
정책이 생성된 후에는 정책 내에 리소스를 생성해야 합니다. 리소스는 정책이 환경을 보호하는 방법을 자세히 설명합니다.
이 자습서에서는 간단한 정책 버전이 사용됩니다. HTTP 및 HTTPS 인바운드 트래픽만 허용됩니다. OCI 네트워크 방화벽 정책 생성에 대한 자세한 내용은 네트워크 방화벽 서비스 정책 생성 및 네트워크 방화벽 서비스 정책 구성요소 생성을 참조하십시오.
이 자습서에 사용되는 정책을 만들려면 다음과 같은 네트워크 방화벽 정책 리소스가 필요합니다.
- 주소 목록
- 서비스
- 서비스 목록
- 보안 규칙
-
주소 목록 리소스 생성.
-
주소 목록 및 주소 목록 생성을 누릅니다.
-
주소 목록 생성 페이지에서 필요한 정보를 입력하고 주소 목록 생성을 누릅니다.
- 이름:
Frontend_Web
(환경에 가장 적합한 이름을 입력합니다.) - IP 주소/CIDR: 로드 밸런서 전용 CIDR을 입력합니다.
- 이름:
주소 목록 만들기를 완료하면 이제 서비스 리소스를 만들 수 있습니다.
-
-
서비스 리소스 생성.
-
서비스 및 서비스 생성을 누릅니다.
-
서비스 생성 페이지에서 필요한 정보를 입력하고 서비스 생성을 누릅니다.
- 이름:
HTTP-HTTPS
(환경에 가장 적합한 이름을 입력합니다.) - 프로토콜:
TCP
을 선택합니다. - 포트 범위:
80-80
를 입력합니다. 다른 범위를 추가하려면 +Another range를 누르고443-443
를 추가합니다.
- 이름:
서비스 만들기가 완료되면 이제 서비스 목록 리소스를 만들 수 있습니다.
-
-
서비스 목록 리소스 만들기.
-
서비스 및 서비스 목록 생성을 누릅니다.
-
서비스 목록 생성 페이지에서 필요한 정보를 입력하고 서비스 목록 생성을 누릅니다.
- 이름: 환경에 가장 적합한 이름을 입력합니다.
- 사용 가능한 서비스: 2단계에서 생성한 서비스를 선택하고 선택한 서비스에 추가를 누릅니다.
- 선택한 서비스: 필요한 서비스를 선택한 서비스로 임포트했는지 확인합니다.
서비스 목록 만들기를 완료했으면 이제 네트워크 방화벽의 보안 규칙을 만들 수 있습니다.
-
-
보안 규칙 생성.
-
보안 규칙 및 보안 규칙 생성을 누릅니다.
-
보안 규칙 생성 페이지에서 필요한 정보를 입력하고 보안 규칙 생성을 누릅니다.
- 이름: 정책 이름을 입력합니다.
- 소스 주소: 기본값. 소스 값은 임의 주소입니다.
- 대상 주소: 1단계에서 생성한 주소 목록을 선택합니다. 주소 목록 선택을 누르고 생성된 주소 목록을 선택합니다.
- 애플리케이션: 기본값. 응용 프로그램 값은 모든 응용 프로그램입니다.
- 서비스: 3단계에서 생성한 서비스 목록을 선택합니다. 서비스 목록 선택을 누르고 생성된 서비스 목록을 선택합니다.
- URL: 기본값. URL 값은 모든 URL입니다.
- 규칙 작업: 환경에 대한 규칙 작업을 선택합니다. 이 자습서에서는 트래픽 허용을 사용합니다.
- 규칙 순서: 정책의 순서를 선택합니다.
-
정책 생성이 완료되면 해당 세부정보에 액세스할 수 있습니다.
주: 환경 액세스 요구에 따라 정책을 생성합니다. 이 튜토리얼에서 사용되는 예제는 순전히 교육적입니다.
OCI 네트워크 방화벽 정책을 생성한 후 계속해서 OCI 네트워크 방화벽 인스턴스 자체 생성을 진행할 수 있습니다.
작업 2.2: OCI 네트워크 방화벽 생성
-
환경에서 사용할 액세스 정책을 생성했습니다. OCI 네트워크 방화벽을 생성해야 합니다. OCI 콘솔로 이동하여 ID 및 보안 및 네트워크 방화벽을 누릅니다.
-
네트워크 방화벽 페이지에서 네트워크 방화벽 생성을 눌러 네트워크 방화벽을 생성합니다.
-
네트워크 방화벽 생성 페이지에서 필요한 정보를 입력하고 네트워크 방화벽 생성을 누릅니다.
- 이름:
NFW_INBOUND
(환경에 가장 적합한 이름을 입력합니다.) - 구획: 네트워크 방화벽이 생성될 구획을 선택합니다.
- (구획)의 네트워크 방화벽 정책: 작업 2.1에서 만든 정책을 선택합니다.
- (구획)의 가상 클라우드 네트워크: 네트워크 방화벽이 설치될 VCN을 선택합니다. 이 자습서에서는 작업 1의 토폴로지에 표시된 대로
VCN_Public
이라는 VCN을 선택합니다. - (구획)의 서브넷: 네트워크 방화벽이 설치될 서브넷을 선택합니다. 이 자습서에서는 이 문서의 작업 1.2에 설명된 대로
Subnet_FW
이라는 서브넷을 선택합니다.
주: 네트워크 방화벽 만들기를 완료하는 데는 40~50분 정도 걸립니다.
- 이름:
-
네트워크 방화벽 이름을 누르고 리소스에 대한 세부정보를 확인합니다.
참고:
-
네트워크 방화벽용으로 생성된 전용 IP를 기록해 둡니다. 나중에 DRG를 사용하여
intra-vcn
및inter-vcn
경로 지정을 구성하여 환경의 모든 통신을 방화벽에서 전송하고 검사할 수 있도록 합니다. -
OCI 네트워크 방화벽의 전용 IP는 이 자습서에 표시된
10.0.0.8
와 다를 수 있습니다. 이러한 방식으로 환경에 생성되는 모든 경로는 구현 중 생성된 OCI 네트워크 방화벽 IP를 고려해야 합니다.
-
작업 3: 가상 서버 및 로드 밸런서 생성
전체 네트워크 환경, DRG, 정책 및 네트워크 방화벽이 생성되어 테스트 웹 사이트를 호스트할 로드 밸런서 및 서버 생성을 시작할 수 있습니다.
작업 3.1: 가상 서버 또는 웹 서버 생성
-
가상 서버 생성은 간단하고 빠릅니다. 가상 서버를 생성하려면 OCI 콘솔로 이동하여 컴퓨트 및 인스턴스를 누릅니다.
-
인스턴스 페이지에서 인스턴스 생성을 누릅니다.
-
인스턴스 생성 페이지에 필요한 정보를 입력합니다. 이 자습서에서는 다음 인스턴스를 만들었습니다.
- srv1_app1: 호스팅 웹 사이트 #1용 서버 #1.
VCN_Private
에서subnet_app1
서브넷 내에 생성되었습니다. - srv2_app1: 호스팅 웹 사이트 #1용 서버 #2.
VCN_Private
에서subnet_app1
서브넷 내에 생성되었습니다. - srv1_app2: 호스팅 웹 사이트 #1용 서버 #1.
VCN_Private
에서subnet_app2
서브넷 내에 생성되었습니다. - srv2_app2: 호스팅 웹 사이트 #1용 서버 #2.
VCN_Private
에서subnet_app2
서브넷 내에 생성되었습니다.
서버용 Oracle Linux 9.x 호스팅을 사용했습니다. 서버를 실행할 준비가 되도록 서버를 만들기 위해 서버를 만드는 동안
Cloud-init
스크립트를 사용하여 httpd 서버 설치를 해결하고 간단한index.html
파일을 만들고 firewalld 데몬을 사용 안함으로 설정했습니다.Cloud-init
스크립트에 대한 자세한 내용은 사용자정의 Cloud-init 초기화 스크립트를 사용하여 관리되는 노드 설정을 참조하십시오. 다음 스크립트를 사용합니다.#!/bin/bash echo "############################################" > /etc/motd echo "# OCI NETWORK FIREWALL LAB #" >> /etc/motd echo "############################################" >> /etc/motd # Installing nginx on Oracle Linux sudo yum install httpd -y # Starting httpd sudo systemctl start httpd # Opening HTTP port in Firewalld sudo firewall-cmd --zone=public --add-service=http # Configuring a simple webpage to our server sudo touch /var/www/html/index.html sudo chown apache:apache /var/www/html/index.html export HOSTNAME=`hostname` sudo cat <<EOF > /var/www/html/index.html <html> <center><img src="https://estuary.dev/static/638f52fd4afa2f02e6d522065f7268f4/26ce8/thumbnail_Group_22548_cda168ff12.png"></img></center> <center> <h1>Welcome to the OCI Network Firewall Lab webpage!</h1> <h2>CONGRATULATIONS!</h2><P> <h3>if you are seeing this page it is because the OCI Network Firewall lab worked! <p>refresh the browser and see the server hostname changing below (because of the Round-Robin policy placed at the OCI LoadBalancers).</h3> </center> <br> <center><img src="https://upload.wikimedia.org/wikipedia/commons/thumb/8/84/Eo_circle_green_arrow-down.svg/2048px-Eo_circle_green_arrow-down.svg.png" width="100" height="100"></center> <h1><center>This is server $HOSTNAME!</center></h1> </html> EOF
- srv1_app1: 호스팅 웹 사이트 #1용 서버 #1.
환경의 토폴로지는 서버를 설치할 위치를 이해하는 데 도움이 됩니다.
이러한 서버에 Apache 웹 서버(httpd)가 설치되었으며 인터넷에서 액세스할 수 있는 간단한 페이지가 documentRoot에 생성되었습니다.
OCI의 인스턴스 생성 및 구성에 대한 세부정보는 이 자습서의 범위를 벗어납니다. 자세한 내용은 인스턴스 생성을 참조하십시오.
작업 3.2: OCI 로드 밸런서 생성
가상 서버를 생성한 후에는 라운드 로빈을 통해 로드 밸런싱을 수행하여 새로 생성된 웹 서버에 액세스할 수 있는 OCI 로드 밸런서를 생성해야 합니다.
-
OCI 로드 밸런서를 생성하려면 OCI 콘솔로 이동하여 네트워킹 및 로드 밸런서를 누릅니다.
-
로드 밸런서 서비스 페이지에서 로드 밸런서 생성을 눌러 이 자습서에서 두 개의 로드 밸런서 생성을 시작합니다.
-
로드 밸런서 생성 페이지에서 생성을 시작할 수 있도록 필요한 정보를 입력하고 다음을 누릅니다.
- 로드 밸런서 이름: 로드 밸런서의 이름을 입력합니다.
- 표시 여부: 로드 밸런서가 인터넷을 통해 액세스되므로
Public
을 선택합니다. - 공용 IP 주소 지정:
Ephemeral IP address
을 선택합니다. 예약된 IP가 있는 경우Reserve IP address
옵션을 사용할 수 있습니다. - 네트워킹 선택: 로드 밸런서가 배치될 VCN을 선택합니다. 이 자습서에서는 VCN이
Public_VCN
가 됩니다. - (구획)의 서브넷: 로드 밸런서가 배치될 서브넷을 선택합니다. 이 자습서에서는 서브넷이
subnet_loadbalancer
가 됩니다.
-
백엔드 선택 페이지에서 필요한 정보를 입력하고 다음을 누릅니다.
- 로드 밸런싱 정책 지정: 로드 밸런서에 대한 정책을 선택합니다. 이 자습서에서는
Round-Robin
를 사용합니다. - 백엔드 추가: 환경에서 페이지를 호스팅할 서버를 이미 생성한 경우 추가하려면 백엔드 추가를 누릅니다.
- 프로토콜: 간단한 웹 사이트를 업로드할 예정이므로 백엔드 건전성 검사에 대한 프로토콜로 HTTP를 선택합니다.
- 포트: HTTP를 사용할 예정이므로 상태 검사는 포트 80/TCP에서 연결을 찾아야 합니다.
- SSL 사용: HTTPS에서 건전성 검사를 수행하려면
Use SSL
항목을 선택하여 사용할 인증서를 구성합니다. 이 유형의 건전성 검사는 이 자습서의 범위를 벗어납니다. 자세한 내용은 로드 밸런서에 대한 SSL 인증서를 참조하십시오.
- 로드 밸런싱 정책 지정: 로드 밸런서에 대한 정책을 선택합니다. 이 자습서에서는
-
리스너 구성 페이지에서 다음 정보를 입력하고 다음을 누릅니다.
- 리스너 이름: 리스너의 이름을 입력합니다.
- 리스너가 처리하는 트래픽의 유형 지정: 리스너를 통과하는 트래픽의 유형을 선택합니다. 이 자습서에서는 HTTP를 사용합니다.
- 리스너가 수신 트래픽에 대해 모니터링하는 포트 지정: 웹 서버로 향하는 수신 트래픽을 캡처하기 위해 리스너가 수신해야 하는 포트를 선택합니다. 이 자습서에서는 포트 80/TCP를 사용합니다.
-
OCI 로드 밸런서 로그를 사용으로 설정하고 제출을 눌러 생성을 시작합니다.
주: 각 웹 사이트 또는 응용 프로그램에 대해 서로 다른 로드 밸런서를 생성해야 합니다. 이 자습서에서는 테스트할 사이트당 하나씩 두 개의 로드 밸런서를 생성합니다.
각 OCI 로드 밸런서에는 고유한 공용 IP가 있습니다. 따라서 각 웹 사이트는 별도의 주소를 통해 액세스 할 수 있습니다.
-
OCI 로드 밸런서가 생성되면 각 로드 밸런서 인스턴스에 백엔드 서버를 수동으로 삽입할 수 있습니다. 다음 이미지에 표시된 것처럼 구성할 로드 밸런서 이름과 백엔드 집합을 누릅니다.
-
백엔드 집합을 볼 때 백엔드를 삽입할 수 있도록 해당 이름을 누릅니다. 백엔드 집합 정보 페이지에서 백엔드 및 백엔드 추가를 누릅니다.
-
구성할 웹 사이트 또는 응용 프로그램에 대한 백엔드의 일부가 될 서버를 선택합니다. 추가를 눌러 완료합니다.
주: 이 시점에서는 OCI 로드 밸런서가 구성되지만 VCN 내 및 DRG 경로 지정이 아직 구성되지 않았으므로 백엔드가 중요 모드로 전환됩니다.
작업 4: DRG 및 VCN 내 라우팅 생성
인터넷을 통해 웹 사이트에 액세스할 수 있고 OCI 네트워크 방화벽을 통해 액세스 트래픽을 분석할 수 있도록 경로 지정을 구성합니다.
작업 4.1: 공용 VCN에서 경로 지정 생성
-
VCN 라우팅 구성 페이지에 액세스하려면 OCI 콘솔로 이동하여 네트워킹 및 가상 클라우드 네트워크를 누릅니다.
-
Public_VCN을 누릅니다.
-
경로 테이블 메뉴 및 경로 테이블 생성을 눌러 경로 지정 테이블 생성을 시작합니다.
-
경로 테이블 생성 페이지에서 필요한 정보를 입력하고 생성을 누릅니다.
- 이름: 경로 지정 테이블의 이름을 입력합니다.
- 구획에 생성: 경로 지정 테이블을 생성할 수 있는 구획을 선택합니다.
참고: VCN 기본 라우팅 테이블은 사용하지 않습니다.
-
Public_VCN의 다음 경로 지정 테이블에 대해 이 프로세스를 반복합니다.
- RT_Firewall: VCN 간 접속을 위해 OCI 네트워크 방화벽 서브넷에 연결되어야 하는 경로 지정 테이블입니다.
- RT_LoadBalancers: VCN 간 연결을 위해 로드 밸런서 서브넷에 추가해야 하는 경로 지정 테이블입니다.
- RT_to_nfw: Public_VCN 네트워크의 인터넷 게이트웨이에 연결되어야 하는 경로 지정 테이블입니다.
- RT_Firewall에서 Subnet_Firewall에 대한 경로를 만듭니다.
경로 지정 테이블을 생성한 후 각 테이블에 다음 경로를 생성합니다.
RT_Firewall 테이블은 Subnet_Firewall에서 사용해야 합니다. 서브넷 기본 경로 지정 테이블을 이 사용자정의 테이블로 바꿉니다.
표: RT_Firewall
CIDR 다음 홉 0.0.0.0/0 IGW - IGW: 인터넷 게이트웨이입니다.
- RT_LoadBalancers에서 Subnet_LoadBalancers에 대한 경로를 만듭니다.
RT_LoadBalancers 테이블은 Subnet_Loadbalancers에서 사용해야 합니다. 서브넷 기본 경로 지정 테이블을 이 사용자정의 테이블로 바꿉니다.
CIDR 다음 홉 0.0.0.0/0 <OCI_NETWORK_FIREWALL_IP> 192.168.0.0/24 DRG 192.168.1.0/24 DRG - DRG: 동적 경로 지정 게이트웨이입니다.
- 192.168.0.0/24: VCN Private_VCN 서브넷의 전용 네트워크로, 웹 사이트 #1의 서버가 설치됩니다.
- 192.168.0.0/24: 웹 사이트 서버가 설치된 VCN 서브넷 Private_VCN의 전용 네트워크입니다. #2.
- RT_to_nfw에서 인터넷 게이트웨이에 대한 경로를 생성합니다.
RT_to_nfw 테이블은 VCN_Public 인터넷 게이트웨이에 연결되어 있어야 합니다.
CIDR 다음 홉 10.0.1.0/24 <OCI_NETWORK_FIREWALL_IP>
작업 4.2: 전용 VCN에서 경로 지정 생성
-
VCN 라우팅 구성 페이지에 액세스하려면 OCI 콘솔로 이동하여 네트워킹 및 가상 클라우드 네트워크를 누릅니다.
-
Private_VCN을 누릅니다.
-
경로 테이블 메뉴 및 Private_VCN에 대한 기본 경로 테이블을 누릅니다.
-
Private_VPN의 경우
10.0/16
네트워크에서 DRG로의 경로를 가리키는 경로만 생성합니다.CIDR 다음 홉 10.0.0.0/16 DRG 루트가 작성되면 모든 것이 제대로 작동해야 합니다. VCN_Public의 VCN 내 경로 지정은 모든 트래픽을 OCI 네트워크 방화벽으로 전달하고, VCN 간 접속(VCN_Public 및 VCN_Private)은 DRG에서 처리됩니다.
-
OCI 로드 밸런서 구성으로 돌아가서 백엔드가 확인인지 확인합니다. 이 경우 브라우저를 열고 로드 밸런서 중 하나의 IP에 액세스합니다.
작업 5: 웹 페이지 액세스
환경 경로 지정이 올바르게 구성되고 OCI 로드 밸런서 인스턴스가 백엔드(전용 네트워크 내)에서 테스트 사이트를 호스트하는 서버에 연결할 수 있으면 로드 밸런서의 주소에 액세스하고 궁극적으로 테스트 웹 페이지에 액세스할 수 있습니다.
로드 밸런서의 적합한 IP 주소를 캡처하여 브라우저에 배치합니다. 모든 항목이 올바르게 설정된 경우 다음 페이지가 표시됩니다.
관련 링크
확인
- 작성자 - Rodrigo Pace de Barros(Oracle LAD A-Team Cloud Security 솔루션 엔지니어)
추가 학습 자원
docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.
제품 설명서는 Oracle Help Center를 참조하십시오.
Protect Websites and Applications with Oracle Cloud Infrastructure Network Firewall
F86939-02
February 2024
Copyright © 2024, Oracle and/or its affiliates.