주:

• 이 사용지침서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 마칠 때는 이러한 값을 클라우드 환경과 관련된 값으로 대체하십시오.

Oracle Cloud Infrastructure Network Firewall으로 웹사이트 및 애플리케이션 보호

소개

Oracle Cloud Infrastructure(OCI) Network Firewall은 Palo Alto Networks®를 기반으로 하는 Oracle Cloud Infrastructure VCN을 위한 차세대 관리형 네트워크 방화벽 및 침입 감지 및 예방 서비스입니다.

OCI 로드 밸런서 서비스는 한 시작점에서 VCN(가상 클라우드 네트워크)에서 도달할 수 있는 여러 서버로 자동으로 트래픽 분배를 제공합니다. 이 서비스에서는 다양한 퍼블릭 또는 프라이빗 IP 주소와 프로비저닝된 대역폭을 사용하는 로드 밸런서를 제공합니다.

DRG(동적 경로 지정 게이트웨이)는 가상 라우터 역할을 하여 온프레미스 네트워크와 VCN 간의 트래픽 경로를 제공하며 VCN 간 트래픽 경로를 지정하는 데도 사용할 수 있습니다. 다양한 유형의 첨부 파일을 사용하여 여러 영역 및 테넌시의 구성요소를 사용하여 사용자정의 네트워크 토폴로지를 구성할 수 있습니다.

동적 라우팅 게이트웨이와 연결된 OCI 로드 밸런서와 함께 OCI 네트워크 방화벽을 사용하면 전용 VPN 내에 배포된 웹 사이트 또는 애플리케이션에 지정된 남북 트래픽을 보호할 수 있습니다.

구조

이 자습서에서는 OCI 네트워크 방화벽 및 OCI 로드 밸런서 기능을 테스트할 새 환경이 생성됩니다. 이것이 우리가 사용할 최종 구조입니다.

공용 VCN과 전용 VCN이라는 별도의 VCN이 있습니다. 이 두 VCN은 네트워크 방화벽 및 로드 밸런서 인프라와 전용 환경에서 당사 웹 사이트와 함께 백엔드 서버를 호스팅합니다.

목표

• OCI 네트워크 방화벽 및 OCI 로드 밸런서를 사용하여 여러 백엔드에 배치된 여러 웹 사이트 및 애플리케이션으로 향하는 트래픽을 보호합니다.

필요 조건

• OCI 테넌시에 액세스합니다.

• 테넌시에 설정된 가상 클라우드 네트워크입니다.

• OCI 로그, 네트워크 방화벽, 네트워킹 및 컴퓨트에 대한 모든 정책 설정입니다.

작업 1: 네트워킹 요소 만들기

공용 및 전용 VCN, 서브넷 및 DRG를 생성합니다.

작업 1.1: 공용 및 전용 VCN 생성

1. VCN을 생성하려면 OCI 콘솔로 이동하여 가상 클라우드 네트워크를 누르십시오.

   

2. VCN 생성을 누릅니다.

   

3. 가상 클라우드 네트워크 생성 페이지에서 필요한 정보를 입력합니다.

   

4. 환경에 만들 각 VCN에 대해 1-3단계를 반복합니다.

   

작업 1.2: 서브넷 생성

두 VCN이 생성되면 각 VCN 내에 서브넷을 생성해야 OCI 네트워크 방화벽, 로드 밸런서 및 액세스할 웹 사이트를 호스트할 서버를 호스트할 수 있습니다.

각 VCN에 대해 다음 서브넷이 제공됩니다.

• VCN 공용:
  • Subnet_FW: CIDR 10.0.0.0/24가 있는 OCI 네트워크 방화벽이 배치될 서브넷입니다.
  • Subnet_LB: CIDR 10.0.1.0/24가 있는 OCI 로드 밸런서가 배치될 서브넷입니다.
• VCN 전용:
  • Subnet_App1: App1 사이트를 호스트하는 서버가 CIDR 192.168.0.0/24와 함께 배치될 서브넷입니다.
  • Subnet_App2: App2 사이트를 호스트하는 서버가 CIDR 192.168.0.0/24와 함께 배치될 서브넷입니다.

1. 각 VCN 이름을 눌러 서브넷을 생성합니다.

   

2. 서브넷 생성을 누릅니다.

   

3. 서브넷 생성 페이지에서 필요한 정보를 입력합니다.

   1. 이름: 서브넷 이름을 입력합니다.
   2. 구획: 서브넷이 생성될 구획을 선택합니다.
   3. 서브넷 유형: 권장 사항에 따라 지역을 선택합니다.
   4. IPv4 CIDR 블록: 서브넷에 대해 원하는 CIDR을 입력합니다. 이 자습서에서는 작업 1.2에서 주소를 정의했습니다.
   5. 서브넷 액세스: 방화벽 및 로드 밸런서가 설치될 서브넷의 경우 공용 서브넷을 선택합니다. 애플리케이션 또는 웹 사이트 서버가 설치될 서브넷용입니다.

   

4. 필요한 정보를 모두 입력했으면 서브넷 생성을 누릅니다.

참고: 생성된 VCN의 보안 목록에서 해당 환경에서 트래픽을 사용할 수 있는지 확인하는 것을 잊지 마십시오. 예를 들어, 네트워크 방화벽을 통한 HTTP 액세스를 허용하려는 경우 보안 목록에서 VCN에 대한 이 인바운드 트래픽을 허용해야 합니다.

작업 1.3: DRG(동적 경로 지정 게이트웨이) 생성

DRG는 OCI 네트워크 방화벽 및 OCI 로드 밸런서를 포함하는 공용 VCN과 인터넷을 통해 액세스할 서버가 포함될 전용 VCN을 상호 연결하는 라우터입니다.

1. DRG를 생성하려면 OCI 콘솔로 이동하여 네트워킹 및 동적 경로 지정 게이트웨이를 누릅니다.

   

2. 동적 경로 지정 게이트웨이 페이지에서 동적 경로 지정 게이트웨이 생성을 누릅니다.

   

3. DRG의 이름을 입력하고 동적 경로 지정 게이트웨이 생성을 누릅니다.

   

   생성이 완료될 때까지 기다리면 DRG 수명 주기 상태가 사용 가능으로 표시됩니다.

   

   • 생성이 완료되면 DRG를 눌러 세부정보를 확인하고 생성할 VCN 간 접속에 필요한 연결을 생성합니다.

   • DRG 경로 지정 테이블 및 DRG 경로 분포를 생성하면 연결 간에 트래픽을 경로 지정하는 경로 지정 정책을 정의할 수 있습니다.

   • 단일 DRG에 여러 VCN을 연결할 수 있으며, 이러한 연결을 통해 DRG 라우팅 기능을 사용하여 VCN 간에 트래픽을 라우팅할 수 있습니다.

4. 작업 1.1에서 생성된 VCN을 연결하려면 가상 클라우드 네트워크 연결 생성을 누릅니다.

   

5. 새 창이 열립니다. 연결 이름을 입력하고 생성 중인 연결을 통해 DRG에 연결해야 할 VCN을 선택합니다. VCN 연결 생성을 눌러 생성을 완료합니다.

   • 첨부 파일 이름: att_public.
   • 가상 클라우드 네트워크: Public_VCN.

   

6. VCN Private_VCN에 대해 1-5단계를 반복합니다.

작업 2: OCI 네트워크 방화벽 생성

OCI 네트워크 방화벽을 생성하기 전에 방화벽에서 사용할 정책을 생성해야 합니다. 이 작업에서는 HTTP 트래픽만 허용하는 정책 생성이 간단합니다. 그러나 OCI 네트워크 방화벽은 암호화된 트래픽을 검사할 수 있으며 고급 L7 방화벽 기능을 제공합니다.

OCI 네트워크 방화벽 서비스의 기능에 대한 자세한 내용은 OCI 네트워크 방화벽을 참조하십시오.

작업 2.1: 네트워크 방화벽 정책 생성

주: 운용 환경의 경우 규칙은 가능한 한 구체적이며 액세스가 가장 적은 정책은 항상 존중됩니다. 이 튜토리얼에서 사용되는 예제는 순수하게 교육적이며 실제 운용 환경에서 재생산해서는 안 됩니다.

1. 네트워크 방화벽에 배치될 정책을 생성하려면 OCI 콘솔로 이동하여 ID 및 보안 및 네트워크 방화벽 정책을 누릅니다.

   

2. 네트워크 방화벽 정책 페이지에서 네트워크 방화벽 정책 생성을 눌러 방화벽 규칙 생성을 시작합니다.

   

3. 마법사가 요청할 때 정보를 입력하고 네트워크 방화벽 정책 생성을 누릅니다.

   

   주: OCI 네트워크 방화벽 정책 내에서 구성할 수 있는 매개변수에 대한 자세한 내용은 정책 및 네트워크 방화벽 서비스 정책 생성을 참조하십시오.

정책이 생성된 후에는 정책 내에 리소스를 생성해야 합니다. 리소스는 정책이 환경을 보호하는 방법을 자세히 설명합니다.

이 자습서에서는 간단한 정책 버전이 사용됩니다. HTTP 및 HTTPS 인바운드 트래픽만 허용됩니다. OCI 네트워크 방화벽 정책 생성에 대한 자세한 내용은 네트워크 방화벽 서비스 정책 생성 및 네트워크 방화벽 서비스 정책 구성요소 생성을 참조하십시오.

이 자습서에 사용되는 정책을 만들려면 다음과 같은 네트워크 방화벽 정책 리소스가 필요합니다.

• 주소 목록
• 서비스
• 서비스 목록
• 보안 규칙

1. 주소 목록 리소스 생성.

   1. 주소 목록 및 주소 목록 생성을 누릅니다.

      

   2. 주소 목록 생성 페이지에서 필요한 정보를 입력하고 주소 목록 생성을 누릅니다.

      • 이름: Frontend_Web(환경에 가장 적합한 이름을 입력합니다.)
      • IP 주소/CIDR: 로드 밸런서 전용 CIDR을 입력합니다.

      

   주소 목록 만들기를 완료하면 이제 서비스 리소스를 만들 수 있습니다.

2. 서비스 리소스 생성.

   1. 서비스 및 서비스 생성을 누릅니다.

      

   2. 서비스 생성 페이지에서 필요한 정보를 입력하고 서비스 생성을 누릅니다.

      • 이름: HTTP-HTTPS(환경에 가장 적합한 이름을 입력합니다.)
      • 프로토콜: TCP을 선택합니다.
      • 포트 범위: 80-80를 입력합니다. 다른 범위를 추가하려면 +Another range를 누르고 443-443를 추가합니다.

      

   서비스 만들기가 완료되면 이제 서비스 목록 리소스를 만들 수 있습니다.

3. 서비스 목록 리소스 만들기.

   1. 서비스 및 서비스 목록 생성을 누릅니다.

      

   2. 서비스 목록 생성 페이지에서 필요한 정보를 입력하고 서비스 목록 생성을 누릅니다.

      • 이름: 환경에 가장 적합한 이름을 입력합니다.
      • 사용 가능한 서비스: 2단계에서 생성한 서비스를 선택하고 선택한 서비스에 추가를 누릅니다.
      • 선택한 서비스: 필요한 서비스를 선택한 서비스로 임포트했는지 확인합니다.

      

   서비스 목록 만들기를 완료했으면 이제 네트워크 방화벽의 보안 규칙을 만들 수 있습니다.

4. 보안 규칙 생성.

   1. 보안 규칙 및 보안 규칙 생성을 누릅니다.

      

   2. 보안 규칙 생성 페이지에서 필요한 정보를 입력하고 보안 규칙 생성을 누릅니다.

      • 이름: 정책 이름을 입력합니다.
      • 소스 주소: 기본값. 소스 값은 임의 주소입니다.
      • 대상 주소: 1단계에서 생성한 주소 목록을 선택합니다. 주소 목록 선택을 누르고 생성된 주소 목록을 선택합니다.
      • 애플리케이션: 기본값. 응용 프로그램 값은 모든 응용 프로그램입니다.
      • 서비스: 3단계에서 생성한 서비스 목록을 선택합니다. 서비스 목록 선택을 누르고 생성된 서비스 목록을 선택합니다.
      • URL: 기본값. URL 값은 모든 URL입니다.
      • 규칙 작업: 환경에 대한 규칙 작업을 선택합니다. 이 자습서에서는 트래픽 허용을 사용합니다.
      • 규칙 순서: 정책의 순서를 선택합니다.

      

정책 생성이 완료되면 해당 세부정보에 액세스할 수 있습니다.

주: 환경 액세스 요구에 따라 정책을 생성합니다. 이 튜토리얼에서 사용되는 예제는 순전히 교육적입니다.

OCI 네트워크 방화벽 정책을 생성한 후 계속해서 OCI 네트워크 방화벽 인스턴스 자체 생성을 진행할 수 있습니다.

작업 2.2: OCI 네트워크 방화벽 생성

1. 환경에서 사용할 액세스 정책을 생성했습니다. OCI 네트워크 방화벽을 생성해야 합니다. OCI 콘솔로 이동하여 ID 및 보안 및 네트워크 방화벽을 누릅니다.

   

2. 네트워크 방화벽 페이지에서 네트워크 방화벽 생성을 눌러 네트워크 방화벽을 생성합니다.

   

3. 네트워크 방화벽 생성 페이지에서 필요한 정보를 입력하고 네트워크 방화벽 생성을 누릅니다.

   1. 이름: NFW_INBOUND(환경에 가장 적합한 이름을 입력합니다.)
   2. 구획: 네트워크 방화벽이 생성될 구획을 선택합니다.
   3. (구획)의 네트워크 방화벽 정책: 작업 2.1에서 만든 정책을 선택합니다.
   4. (구획)의 가상 클라우드 네트워크: 네트워크 방화벽이 설치될 VCN을 선택합니다. 이 자습서에서는 작업 1의 토폴로지에 표시된 대로 VCN_Public이라는 VCN을 선택합니다.
   5. (구획)의 서브넷: 네트워크 방화벽이 설치될 서브넷을 선택합니다. 이 자습서에서는 이 문서의 작업 1.2에 설명된 대로 Subnet_FW이라는 서브넷을 선택합니다.

   

   주: 네트워크 방화벽 만들기를 완료하는 데는 40~50분 정도 걸립니다.

4. 네트워크 방화벽 이름을 누르고 리소스에 대한 세부정보를 확인합니다.

   

   참고:

   • 네트워크 방화벽용으로 생성된 전용 IP를 기록해 둡니다. 나중에 DRG를 사용하여 intra-vcn 및 inter-vcn 경로 지정을 구성하여 환경의 모든 통신을 방화벽에서 전송하고 검사할 수 있도록 합니다.

   • OCI 네트워크 방화벽의 전용 IP는 이 자습서에 표시된 10.0.0.8와 다를 수 있습니다. 이러한 방식으로 환경에 생성되는 모든 경로는 구현 중 생성된 OCI 네트워크 방화벽 IP를 고려해야 합니다.

작업 3: 가상 서버 및 로드 밸런서 생성

전체 네트워크 환경, DRG, 정책 및 네트워크 방화벽이 생성되어 테스트 웹 사이트를 호스트할 로드 밸런서 및 서버 생성을 시작할 수 있습니다.

작업 3.1: 가상 서버 또는 웹 서버 생성

1. 가상 서버 생성은 간단하고 빠릅니다. 가상 서버를 생성하려면 OCI 콘솔로 이동하여 컴퓨트 및 인스턴스를 누릅니다.

   

2. 인스턴스 페이지에서 인스턴스 생성을 누릅니다.

   

3. 인스턴스 생성 페이지에 필요한 정보를 입력합니다. 이 자습서에서는 다음 인스턴스를 만들었습니다.

   • srv1_app1: 호스팅 웹 사이트 #1용 서버 #1. VCN_Private에서 subnet_app1 서브넷 내에 생성되었습니다.
   • srv2_app1: 호스팅 웹 사이트 #1용 서버 #2. VCN_Private에서 subnet_app1 서브넷 내에 생성되었습니다.
   • srv1_app2: 호스팅 웹 사이트 #1용 서버 #1. VCN_Private에서 subnet_app2 서브넷 내에 생성되었습니다.
   • srv2_app2: 호스팅 웹 사이트 #1용 서버 #2. VCN_Private에서 subnet_app2 서브넷 내에 생성되었습니다.

   서버용 Oracle Linux 9.x 호스팅을 사용했습니다. 서버를 실행할 준비가 되도록 서버를 만들기 위해 서버를 만드는 동안 Cloud-init 스크립트를 사용하여 httpd 서버 설치를 해결하고 간단한 index.html 파일을 만들고 firewalld 데몬을 사용 안함으로 설정했습니다. Cloud-init 스크립트에 대한 자세한 내용은 사용자정의 Cloud-init 초기화 스크립트를 사용하여 관리되는 노드 설정을 참조하십시오. 다음 스크립트를 사용합니다.

   #!/bin/bash
   echo "############################################" > /etc/motd
   echo "#       OCI NETWORK FIREWALL LAB           #" >> /etc/motd
   echo "############################################" >> /etc/motd
   
   # Installing nginx on Oracle Linux
   sudo yum install httpd -y
   
   # Starting httpd
   sudo systemctl start httpd
   
   # Opening HTTP port in Firewalld
   sudo firewall-cmd --zone=public --add-service=http
   
   # Configuring a simple webpage to our server
   sudo touch /var/www/html/index.html
   sudo chown apache:apache /var/www/html/index.html
   
   export HOSTNAME=`hostname`
   
   sudo cat <<EOF > /var/www/html/index.html
   <html>
           <center><img src="https://estuary.dev/static/638f52fd4afa2f02e6d522065f7268f4/26ce8/thumbnail_Group_22548_cda168ff12.png"></img></center>
           <center>
                   <h1>Welcome to the OCI Network Firewall Lab webpage!</h1>
                   <h2>CONGRATULATIONS!</h2><P>
                   <h3>if you are seeing this page it is because the OCI Network Firewall lab worked! <p>refresh the browser and see the server hostname changing below (because of the Round-Robin policy placed at the OCI LoadBalancers).</h3>
           </center>
           <br>
           <center><img src="https://upload.wikimedia.org/wikipedia/commons/thumb/8/84/Eo_circle_green_arrow-down.svg/2048px-Eo_circle_green_arrow-down.svg.png" width="100" height="100"></center>
           <h1><center>This is server $HOSTNAME!</center></h1>
   </html>
   EOF
   

환경의 토폴로지는 서버를 설치할 위치를 이해하는 데 도움이 됩니다.

이러한 서버에 Apache 웹 서버(httpd)가 설치되었으며 인터넷에서 액세스할 수 있는 간단한 페이지가 documentRoot에 생성되었습니다.

OCI의 인스턴스 생성 및 구성에 대한 세부정보는 이 자습서의 범위를 벗어납니다. 자세한 내용은 인스턴스 생성을 참조하십시오.

작업 3.2: OCI 로드 밸런서 생성

가상 서버를 생성한 후에는 라운드 로빈을 통해 로드 밸런싱을 수행하여 새로 생성된 웹 서버에 액세스할 수 있는 OCI 로드 밸런서를 생성해야 합니다.

1. OCI 로드 밸런서를 생성하려면 OCI 콘솔로 이동하여 네트워킹 및 로드 밸런서를 누릅니다.

   

2. 로드 밸런서 서비스 페이지에서 로드 밸런서 생성을 눌러 이 자습서에서 두 개의 로드 밸런서 생성을 시작합니다.

   

3. 로드 밸런서 생성 페이지에서 생성을 시작할 수 있도록 필요한 정보를 입력하고 다음을 누릅니다.

   1. 로드 밸런서 이름: 로드 밸런서의 이름을 입력합니다.
   2. 표시 여부: 로드 밸런서가 인터넷을 통해 액세스되므로 Public을 선택합니다.
   3. 공용 IP 주소 지정: Ephemeral IP address을 선택합니다. 예약된 IP가 있는 경우 Reserve IP address 옵션을 사용할 수 있습니다.
   4. 네트워킹 선택: 로드 밸런서가 배치될 VCN을 선택합니다. 이 자습서에서는 VCN이 Public_VCN가 됩니다.
   5. (구획)의 서브넷: 로드 밸런서가 배치될 서브넷을 선택합니다. 이 자습서에서는 서브넷이 subnet_loadbalancer가 됩니다.

   

   

4. 백엔드 선택 페이지에서 필요한 정보를 입력하고 다음을 누릅니다.

   1. 로드 밸런싱 정책 지정: 로드 밸런서에 대한 정책을 선택합니다. 이 자습서에서는 Round-Robin를 사용합니다.
   2. 백엔드 추가: 환경에서 페이지를 호스팅할 서버를 이미 생성한 경우 추가하려면 백엔드 추가를 누릅니다.
   3. 프로토콜: 간단한 웹 사이트를 업로드할 예정이므로 백엔드 건전성 검사에 대한 프로토콜로 HTTP를 선택합니다.
   4. 포트: HTTP를 사용할 예정이므로 상태 검사는 포트 80/TCP에서 연결을 찾아야 합니다.
   5. SSL 사용: HTTPS에서 건전성 검사를 수행하려면 Use SSL 항목을 선택하여 사용할 인증서를 구성합니다. 이 유형의 건전성 검사는 이 자습서의 범위를 벗어납니다. 자세한 내용은 로드 밸런서에 대한 SSL 인증서를 참조하십시오.

   

   

5. 리스너 구성 페이지에서 다음 정보를 입력하고 다음을 누릅니다.

   1. 리스너 이름: 리스너의 이름을 입력합니다.
   2. 리스너가 처리하는 트래픽의 유형 지정: 리스너를 통과하는 트래픽의 유형을 선택합니다. 이 자습서에서는 HTTP를 사용합니다.
   3. 리스너가 수신 트래픽에 대해 모니터링하는 포트 지정: 웹 서버로 향하는 수신 트래픽을 캡처하기 위해 리스너가 수신해야 하는 포트를 선택합니다. 이 자습서에서는 포트 80/TCP를 사용합니다.

   

6. OCI 로드 밸런서 로그를 사용으로 설정하고 제출을 눌러 생성을 시작합니다.

   

   주: 각 웹 사이트 또는 응용 프로그램에 대해 서로 다른 로드 밸런서를 생성해야 합니다. 이 자습서에서는 테스트할 사이트당 하나씩 두 개의 로드 밸런서를 생성합니다.

   

   각 OCI 로드 밸런서에는 고유한 공용 IP가 있습니다. 따라서 각 웹 사이트는 별도의 주소를 통해 액세스 할 수 있습니다.

7. OCI 로드 밸런서가 생성되면 각 로드 밸런서 인스턴스에 백엔드 서버를 수동으로 삽입할 수 있습니다. 다음 이미지에 표시된 것처럼 구성할 로드 밸런서 이름과 백엔드 집합을 누릅니다.

   

8. 백엔드 집합을 볼 때 백엔드를 삽입할 수 있도록 해당 이름을 누릅니다. 백엔드 집합 정보 페이지에서 백엔드 및 백엔드 추가를 누릅니다.

   

9. 구성할 웹 사이트 또는 응용 프로그램에 대한 백엔드의 일부가 될 서버를 선택합니다. 추가를 눌러 완료합니다.

   

주: 이 시점에서는 OCI 로드 밸런서가 구성되지만 VCN 내 및 DRG 경로 지정이 아직 구성되지 않았으므로 백엔드가 중요 모드로 전환됩니다.

작업 4: DRG 및 VCN 내 라우팅 생성

인터넷을 통해 웹 사이트에 액세스할 수 있고 OCI 네트워크 방화벽을 통해 액세스 트래픽을 분석할 수 있도록 경로 지정을 구성합니다.

작업 4.1: 공용 VCN에서 경로 지정 생성

1. VCN 라우팅 구성 페이지에 액세스하려면 OCI 콘솔로 이동하여 네트워킹 및 가상 클라우드 네트워크를 누릅니다.

   

2. Public_VCN을 누릅니다.

   

3. 경로 테이블 메뉴 및 경로 테이블 생성을 눌러 경로 지정 테이블 생성을 시작합니다.

   

4. 경로 테이블 생성 페이지에서 필요한 정보를 입력하고 생성을 누릅니다.

   1. 이름: 경로 지정 테이블의 이름을 입력합니다.
   2. 구획에 생성: 경로 지정 테이블을 생성할 수 있는 구획을 선택합니다.

   참고: VCN 기본 라우팅 테이블은 사용하지 않습니다.

   

5. Public_VCN의 다음 경로 지정 테이블에 대해 이 프로세스를 반복합니다.

   • RT_Firewall: VCN 간 접속을 위해 OCI 네트워크 방화벽 서브넷에 연결되어야 하는 경로 지정 테이블입니다.
   • RT_LoadBalancers: VCN 간 연결을 위해 로드 밸런서 서브넷에 추가해야 하는 경로 지정 테이블입니다.
   • RT_to_nfw: Public_VCN 네트워크의 인터넷 게이트웨이에 연결되어야 하는 경로 지정 테이블입니다.
     1. RT_Firewall에서 Subnet_Firewall에 대한 경로를 만듭니다.

     경로 지정 테이블을 생성한 후 각 테이블에 다음 경로를 생성합니다.

     RT_Firewall 테이블은 Subnet_Firewall에서 사용해야 합니다. 서브넷 기본 경로 지정 테이블을 이 사용자정의 테이블로 바꿉니다.

     표: RT_Firewall

     CIDR	다음 홉
     0.0.0.0/0	IGW

     • IGW: 인터넷 게이트웨이입니다.
       1. RT_LoadBalancers에서 Subnet_LoadBalancers에 대한 경로를 만듭니다.

     RT_LoadBalancers 테이블은 Subnet_Loadbalancers에서 사용해야 합니다. 서브넷 기본 경로 지정 테이블을 이 사용자정의 테이블로 바꿉니다.

     CIDR	다음 홉
     0.0.0.0/0	<OCI_NETWORK_FIREWALL_IP>
     192.168.0.0/24	DRG
     192.168.1.0/24	DRG

     • DRG: 동적 경로 지정 게이트웨이입니다.
     • 192.168.0.0/24: VCN Private_VCN 서브넷의 전용 네트워크로, 웹 사이트 #1의 서버가 설치됩니다.
     • 192.168.0.0/24: 웹 사이트 서버가 설치된 VCN 서브넷 Private_VCN의 전용 네트워크입니다. #2.
       1. RT_to_nfw에서 인터넷 게이트웨이에 대한 경로를 생성합니다.

     RT_to_nfw 테이블은 VCN_Public 인터넷 게이트웨이에 연결되어 있어야 합니다.

     CIDR	다음 홉
     10.0.1.0/24	<OCI_NETWORK_FIREWALL_IP>

작업 4.2: 전용 VCN에서 경로 지정 생성

1. VCN 라우팅 구성 페이지에 액세스하려면 OCI 콘솔로 이동하여 네트워킹 및 가상 클라우드 네트워크를 누릅니다.

   

2. Private_VCN을 누릅니다.

   

3. 경로 테이블 메뉴 및 Private_VCN에 대한 기본 경로 테이블을 누릅니다.

   

4. Private_VPN의 경우 10.0/16 네트워크에서 DRG로의 경로를 가리키는 경로만 생성합니다.

   CIDR	다음 홉
   10.0.0.0/16	DRG

   루트가 작성되면 모든 것이 제대로 작동해야 합니다. VCN_Public의 VCN 내 경로 지정은 모든 트래픽을 OCI 네트워크 방화벽으로 전달하고, VCN 간 접속(VCN_Public 및 VCN_Private)은 DRG에서 처리됩니다.

5. OCI 로드 밸런서 구성으로 돌아가서 백엔드가 확인인지 확인합니다. 이 경우 브라우저를 열고 로드 밸런서 중 하나의 IP에 액세스합니다.

   

작업 5: 웹 페이지 액세스

환경 경로 지정이 올바르게 구성되고 OCI 로드 밸런서 인스턴스가 백엔드(전용 네트워크 내)에서 테스트 사이트를 호스트하는 서버에 연결할 수 있으면 로드 밸런서의 주소에 액세스하고 궁극적으로 테스트 웹 페이지에 액세스할 수 있습니다.

로드 밸런서의 적합한 IP 주소를 캡처하여 브라우저에 배치합니다. 모든 항목이 올바르게 설정된 경우 다음 페이지가 표시됩니다.

관련 링크

• OCI 네트워크 방화벽 참조 아키텍처

• OCI 네트워크 방화벽 - LBaaS 트래픽 보안

• OCI 네트워크 방화벽 개요

• 해독 규칙을 사용하여 SSL 전달 프록시 및 인바운드 검사에 OCI 네트워크 방화벽 사용

• OCI Network Firewall - 개념 및 배치

• OCI 로드 밸런서

• 동적 경로 지정 게이트웨이

확인

• 작성자 - Rodrigo Pace de Barros(Oracle LAD A-Team Cloud Security 솔루션 엔지니어)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 살펴보거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하십시오. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Protect Websites and Applications with Oracle Cloud Infrastructure Network Firewall

F86939-02

February 2024

Copyright © 2024, Oracle and/or its affiliates.