Documentação do Oracle Cloud Infrastructure

Roteando o tráfego para um Network Firewall

Cenários mostrando como rotear o tráfego de rede para um firewall.

Este tópico mostra vários cenários para rotear o tráfego para um firewall de rede. Consulte os seguintes recursos para obter mais informações sobre roteamento de rede:
Observação

Antes de começar:
Importante

  • Para obter melhor desempenho, a Oracle recomenda que você não adicione regras com monitoramento de estado à lista de segurança anexada à sub-rede do firewall ou inclua o firewall em um NSG (grupo de segurança de rede) que contenha regras com monitoramento de estado
  • As regras da lista de segurança ou do NSG (grupo de segurança de rede) associadas à sub-rede de firewall e às VNICs são avaliadas antes do firewall. Certifique-se de que qualquer regra de lista de segurança ou regra de NSG permita que o tráfego entre no firewall para que ele possa ser avaliado adequadamente.
  • Se a política que você usa com o firewall não tiver regras especificadas, o firewall negará todo o tráfego.
Para rotear o tráfego on-premises por meio de um firewall de rede

Veja um exemplo de como configurar o roteamento de uma rede on-premises para sua VCN do Oracle Cloud Infrastructure usando um DRG (Gateway de Roteamento Dinâmico). Cada etapa contém um link para instruções específicas:

  1. Crie uma sub-rede DMZ na VCN.
  2. Na sub-rede DMZ, crie um firewall e associe-o a uma política.
  3. Crie um DRG (gateway de roteamento dinâmico).
  4. Crie uma tabela de roteamento de DRG.
  5. Anexe a VCN ao DRG. Ao configurar o anexo, associe a tabela de roteamento de DRG ao anexo, conforme especificado na Etapa 6 das instruções Anexar a VCN ao DRG.
  6. Adicione uma regra de roteamento dentro da VCN à tabela de roteamento do DRG que especifique um CIDR de destino dentro do CIDR da VCN (por exemplo, 10.0.1.0/24) e direcione o endereço IP do firewall (por exemplo, 10.0.2.2).
  7. Atualize a sub-rede privada para rotear todo o tráfego para regiões on-premise ou outras regiões por meio do firewall.
  8. Atualize a sub-rede DMZ para rotear o tráfego para uma VCN on-premise ou outra VCN nas mesmas regiões ou em regiões distintas por meio do DRG.

    Esta imagem mostra o roteamento on-premises para uma VCN usando um DRG.
    Callout 1: Tabela de roteamento do gateway de roteamento dinâmico (DRG)
    CIDR de Destino Destino da rota
    0.0.0.0/0 Network Firewall (10.0.2.2)
    Callout 2: Tabela de roteamento da sub-rede DMZ
    CIDR de Destino Destino da rota
    0.0.0.0/0 DRG
    Callout 3: Tabela de roteamento da sub-rede DMZ
    CIDR de Destino Destino da rota
    0.0.0.0/0 Network Firewall (10.0.2.2)
Para rotear o tráfego da internet por meio de um firewall de rede

Neste exemplo, o roteamento é configurado da internet para o firewall. O tráfego é roteado do IGW por meio do firewall e, em seguida, da sub-rede do firewall para uma sub-rede pública.

  1. Crie uma sub-rede DMZ na VCN.
  2. Na sub-rede DMZ, crie um firewall e associe-o a uma política.
  3. Crie um gateway de internet na VCN.
  4. Adicione uma regra de roteamento dentro da VCN à tabela de roteamento do IGW que especifique um CIDR de destino dentro do CIDR da VCN (por exemplo, 10.0.1.0/24) e direcione o endereço IP do firewall (por exemplo, 10.0.2.2)
  5. Atualize a tabela de roteamento de sub-rede pública para rotear todo o tráfego para a internet por meio do firewall.
  6. Atualize a sub-rede DMZ para rotear o tráfego para a internet por meio do IGW.

    Esta imagem mostra o roteamento de um gateway de internet para um firewall.
    Callout 1: Tabela de roteamento do gateway de internet (IGW)
    CIDR de Destino Destino da rota
    VCN (10.0.0.0/16) Network Firewall (10.0.2.2)
    Callout 2: Tabela de roteamento da sub-rede DMZ
    CIDR de Destino Destino da rota
    0.0.0.0/0 IGW
    Callout 3: Tabela de roteamento de sub-rede pública
    CIDR de Destino Destino da rota
    0.0.0.0/0 Network Firewall (10.0.2.2)
Para rotear o tráfego dentro da VCN por meio de um firewall de rede

Neste exemplo, o tráfego é roteado da Sub-rede A para o firewall. No firewall, o tráfego é roteado para a Sub-rede B usando o 10.0.0.0 implícito para "local" (não mostrado).

  1. Crie a Sub-rede A na VCN.
  2. Crie a Sub-rede B na VCN.
  3. Crie uma sub-rede DMZ na VCN.
  4. Na sub-rede DMZ, crie um firewall e associe-o a uma política.
  5. Adicione uma regra de roteamento dentro da VCN à tabela de roteamento da Sub-rede A que especifique um CIDR de destino dentro do CIDR da VCN (por exemplo, 10.0.1.0/24) e direcione o endereço IP do firewall (por exemplo, 10.0.2.2)
  6. Adicione uma regra de roteamento à Sub-rede B que especifique o destino com a VCN (10.0.3.0/24) por meio do firewall.

    Esta imagem mostra o roteamento dentro da VCN por meio do firewall de rede.
    Callout 1: Tabela de roteamento da sub-rede privada regional A
    CIDR de Destino Destino da rota
    Sub-rede B (10.0.1.0/24) Network Firewall (10.0.2.2)
    Callout 2: Tabela de roteamento da sub-rede privada regional B
    CIDR de Destino Destino da rota
    Sub-rede A (10.0.3.0/24) Network Firewall (10.0.2.2)