Documentação do Oracle Cloud Infrastructure

Roteando o tráfego de rede para um firewall

Cenários que mostram como rotear o tráfego de rede para um firewall.

Este tópico mostra cenários para rotear o tráfego para um firewall de rede. Para obter mais informações sobre roteamento de rede, consulte Tabelas de Roteamento de VCN e Roteamento Intra-VCN.

Para obter melhor desempenho, considere não adicionar regras com monitoramento de estado à lista de segurança anexada à sub-rede do firewall ou incluir o firewall em um grupo de segurança de rede (NSG) que contenha regras com monitoramento de estado.

As regras da lista de segurança ou do NSG (grupo de segurança de rede) associadas à sub-rede de firewall e às VNICs são avaliadas antes do firewall. Certifique-se de que qualquer regra de lista de segurança ou regra de NSG permita que o tráfego entre no firewall para que ele possa ser avaliado adequadamente.

Se a política que você usa com o firewall não tiver regras especificadas, o firewall negará todo o tráfego.

Roteie o tráfego on-premises por meio de um firewall

Um exemplo de como configurar o roteamento de uma rede local para sua VCN usando um Gateway de Roteamento Dinâmico (DRG).

  1. Crie uma sub-rede DMZ na VCN.
  2. Na sub-rede DMZ, crie um firewall e associe-o a uma política de firewall.
  3. Crie um DRG (gateway de roteamento dinâmico).
  4. Crie uma tabela de roteamento de DRG.
  5. Anexe a VCN ao DRG. Ao configurar o anexo, associe a tabela de roteamento de DRG ao anexo, conforme especificado na Etapa 6 das instruções Anexar a VCN ao DRG.
  6. Adicione uma regra de roteamento dentro da VCN à tabela de roteamento do DRG que especifique um CIDR de destino dentro do CIDR da VCN (por exemplo, 10.0.1.0/24) e direcione o endereço IP do firewall (por exemplo, 10.0.2.2).
  7. Atualize a sub-rede privada para rotear todo o tráfego para regiões on-premise ou outras regiões por meio do firewall.
  8. Atualize a sub-rede DMZ para rotear o tráfego para uma VCN on-premise ou outra VCN nas mesmas regiões ou em regiões distintas por meio do DRG.

    Esta imagem mostra o roteamento on-premises para uma VCN usando um DRG.
    Callout 1: Tabela de roteamento do gateway de roteamento dinâmico (DRG)
    CIDR de Destino Destino da rota
    0.0.0.0/0 Network Firewall (10.0.2.2)
    Callout 2: Tabela de roteamento da sub-rede DMZ
    CIDR de Destino Destino da rota
    0.0.0.0/0 DRG
    Callout 3: Tabela de roteamento da sub-rede DMZ
    CIDR de Destino Destino da rota
    0.0.0.0/0 Network Firewall (10.0.2.2)
Roteie o tráfego da internet por meio de um firewall

Neste exemplo, o roteamento é configurado da internet para o firewall. O tráfego é roteado do IGW por meio do firewall e, em seguida, da sub-rede do firewall para uma sub-rede pública.

  1. Crie uma sub-rede DMZ na VCN.
  2. Na sub-rede DMZ, crie um firewall e associe-o a uma política.
  3. Crie um gateway de internet na VCN.
  4. Adicione uma regra de roteamento dentro da VCN à tabela de roteamento do IGW que especifique um CIDR de destino dentro do CIDR da VCN (por exemplo, 10.0.1.0/24) e direcione o endereço IP do firewall (por exemplo, 10.0.2.2)
  5. Atualize a tabela de roteamento de sub-rede pública para rotear todo o tráfego para a internet por meio do firewall.
  6. Atualize a sub-rede DMZ para rotear o tráfego para a internet por meio do IGW.

    Esta imagem mostra o roteamento de um gateway de internet para um firewall.
    Callout 1: Tabela de roteamento do gateway de internet (IGW)
    CIDR de Destino Destino da rota
    VCN (10.0.0.0/16) Network Firewall (10.0.2.2)
    Callout 2: Tabela de roteamento da sub-rede DMZ
    CIDR de Destino Destino da rota
    0.0.0.0/0 IGW
    Callout 3: Tabela de roteamento de sub-rede pública
    CIDR de Destino Destino da rota
    0.0.0.0/0 Network Firewall (10.0.2.2)
Rotear o tráfego intra-VCN por meio de um firewall

Neste exemplo, o tráfego é roteado da Sub-rede A para o firewall. No firewall, o tráfego é roteado para a Sub-rede B usando o 10.0.0.0 implícito para "local" (não mostrado).

  1. Crie a Sub-rede A na VCN.
  2. Crie a Sub-rede B na VCN.
  3. Crie uma sub-rede DMZ na VCN.
  4. Na sub-rede DMZ, crie um firewall e associe-o a uma política.
  5. Adicione uma regra de roteamento dentro da VCN à tabela de roteamento da Sub-rede A que especifique um CIDR de destino dentro do CIDR da VCN (por exemplo, 10.0.1.0/24) e direcione o endereço IP do firewall (por exemplo, 10.0.2.2)
  6. Adicione uma regra de roteamento à Sub-rede B que especifique o destino com a VCN (10.0.3.0/24) por meio do firewall.

    Esta imagem mostra o roteamento dentro da VCN por meio do firewall de rede.
    Callout 1: Tabela de roteamento da sub-rede privada regional A
    CIDR de Destino Destino da rota
    Sub-rede B (10.0.1.0/24) Network Firewall (10.0.2.2)
    Callout 2: Tabela de roteamento da sub-rede privada regional B
    CIDR de Destino Destino da rota
    Sub-rede A (10.0.3.0/24) Network Firewall (10.0.2.2)