Visão geral do serviço Network Firewall
O serviço Network Firewall é um firewall de rede com detecção e prevenção de invasões para redes virtuais na nuvem (VCNs).
Alimentado pela Palo Alto Networks®, o serviço Network Firewall oferece visibilidade do tráfego de rede que entra em ambientes de nuvem (norte-sul) e entre sub-redes (leste-oeste). Você pode usar o firewall de rede com outros serviços de segurança para criar uma solução de segurança de rede em camadas.
Um firewall de rede é uma instância altamente disponível e escalável que você cria em uma sub-rede. O firewall aplica a lógica de negócios definida em uma política ao tráfego de rede. Use o roteamento na VCN para direcionar o tráfego de/para o firewall.
O serviço Network Firewall fornece uma taxa de throughput de 4 Gbps.
Recursos de Segurança
- Filtragem de rede com monitoramento de estado: Crie regras de filtragem de rede com monitoramento de estado que permitam ou neguem o tráfego de rede com base no IP de origem (IPv4 e IPv6), IP de destino (IPv4 e IPv6), porta e protocolo.
- URL e filtragem FQDN personalizados: restrinja o tráfego de entrada e saída a uma lista especificada de FQDNs (nomes de domínio totalmente qualificados), incluindo curingas e URLs personalizados.
- IDPS (Prevenção e Detecção de Invasão): Monitore as redes para obter atividades mal-intencionadas. Registre informações, reporte ou bloqueie a atividade.
- Inspeção SSL: decriptografe e inspecione o tráfego criptografado com TLS com suporte a ESNI para vulnerabilidades de segurança. A ESNI (Indicação de Nome de Servidor Criptografado) é uma extensão TLSv1.3 que criptografa a SNI (Indicação de Nome de Servidor) no handshake TLS.
- Inspeção de tráfego dentro da sub-rede da VCN: roteie o tráfego entre duas sub-redes da VCN por meio de um firewall de rede.
- Inspeção de tráfego entre VCN: roteie o tráfego entre duas VCNs por meio de um firewall de rede.
Casos de Uso do Firewall de Rede
Aqui estão alguns casos de uso comuns do firewall de rede. Cada cenário usa o roteamento dentro da VCN para rotear o tráfego para o firewall. Consulte Roteamento Dentro da VCN para obter mais informações.
Protegendo o tráfego entre uma rede on-premises e uma VCN
CIDR de Destino | Destino da rota |
---|---|
0.0.0.0/0 | Network Firewall (10.0.2.2) |
CIDR de Destino | Destino da rota |
---|---|
0.0.0.0/0 | DRG |
CIDR de Destino | Destino da rota |
---|---|
0.0.0.0/0 | Network Firewall (10.0.2.2) |
Protegendo o tráfego entre a internet e uma VCN
Neste exemplo, o roteamento é configurado da internet para o firewall. O tráfego é roteado do IGW por meio do firewall e, em seguida, da sub-rede do firewall para uma sub-rede pública.
CIDR de Destino | Destino da rota |
---|---|
VCN (10.0.0.0/16) | Network Firewall (10.0.2.2) |
CIDR de Destino | Destino da rota |
---|---|
0.0.0.0/0 | IGW |
CIDR de Destino | Destino da rota |
---|---|
0.0.0.0/0 | Network Firewall (10.0.2.2) |
Protegendo o tráfego entre sub-redes em uma VCN
Neste exemplo, o roteamento é configurado de uma sub-rede para o firewall. O tráfego é roteado da Sub-rede A por meio do firewall e, em seguida, da sub-rede do firewall para a Sub-rede B.
Regiões e Domínios de Disponibilidade
Você pode usar o serviço Network Firewall em todas as regiões. Para obter uma lista de regiões suportadas e informações gerais, consulte Regiões e Domínios de Disponibilidade.
Ao criar um firewall, você pode criá-lo em uma região ou em um domínio de disponibilidade específico dentro de uma região. O padrão quando você cria um firewall é regional.
- As instâncias de firewall regionais são distribuídas em todos os domínios de disponibilidade da região, o que reduz o risco de falha do AD.
- Os firewalls regionais são de alta disponibilidade e têm alta tolerância a falhas.
- O uso de firewalls regionais pode adicionar latências intermediárias secundárias do domínio de disponibilidade. Por exemplo, se o cliente ou o servidor estiver em um domínio de disponibilidade diferente da instância do firewall, poderá haver latência em milissegundos. Se o cliente ou o servidor estiver no mesmo Domínio de disponibilidade da instância do firewall, a latência estará em microssegundos.
- As instâncias de firewall específicas do domínio de disponibilidade são distribuídas em muitos domínios de falha dentro de um único domínio de disponibilidade especificado.
- Os firewalls específicos do domínio de disponibilidade poderão causar o redirecionamento do tráfego se ele vier de uma sub-rede regional.
Conceitos do Serviço Network Firewall
- firewall
- Um recurso de segurança que existe em uma sub-rede escolhida e controla o tráfego de rede de entrada e saída com base em um conjunto de regras de segurança. O tráfego é roteado de/para o firewall de recursos, como gateways de internet e DRGs (gateways de roteamento dinâmico). Para criar um firewall, você deve ter pelo menos uma política que possa anexar ao firewall. Para obter informações sobre como criar e gerenciar esse recurso, consulte Firewalls.
- política
- Uma política contém as regras que controlam como um firewall associado inspeciona, permite ou nega o tráfego da rede. Componentes de regra, como listas, segredos e perfis de decriptografia, ajudam a criar regras para a política. Você pode associar uma política a muitos firewalls. As políticas associadas a um ou mais firewalls não podem ser excluídas. Para excluir a política, primeiro associar o firewall a outra política, em seguida, exclua a política original. Para obter informações sobre como criar e gerenciar esse recurso, consulte Políticas e Criando Componentes da Política do Firewall de Rede.
- domínio de disponibilidade
- O centro de dados do Oracle Cloud Infrastructure em uma região geográfica que hospeda recursos de nuvem. Para obter mais informações, consulte Regiões e Domínios de Disponibilidade. Um firewall existe em um único Domínio de disponibilidade em uma região.
- tráfego de rede norte-sul
- Tráfego que entra na rede com base em uma origem externa.
- tráfego de rede leste-oeste
- Tráfego que viaja entre cargas de trabalho e sub-redes dentro de uma VCN.
- DMZ (zona desmilitarizada)
- Uma sub-rede que contém um firewall e adiciona uma camada de segurança à rede.
Maneiras de Acessar o Network Firewall
Você pode acessar o Oracle Cloud Infrastructure com a Console (uma interface baseada em navegador), ou a API REST. Instruções para Console e API estão incluídas em tópicos ao longo deste guia.
Para acessar a Console, você deve usar um navegador suportado. Você pode usar o link Console na parte superior desta página para ir até a página de acesso. Informe a tenancy, o nome de usuário e a senha.
Autenticação e Autorização
Cada serviço do Oracle Cloud Infrastructure integra-se ao serviço IAM para autenticação e autorização em relação a todas as interfaces (a Console, SDK ou CLI e API REST).
Um administrador da sua organização precisa configurar grupos , compartimentos e políticas que controlem quais usuários podem acessar quais serviços, quais recursos e o tipo de acesso. Por exemplo, as políticas controlam quem pode criar novos usuários, criar e gerenciar a rede na nuvem, criar instâncias, criar buckets, fazer download de objetos e assim por diante. Consulte Como as Políticas Funcionam para obter mais informações.
Se você for um usuário comum (não um administrador) que precisa usar os recursos do Oracle Cloud Infrastructure que sua empresa possui, entre em contato com um administrador para configurar um ID de usuário para você. O administrador pode confirmar o(s) compartimento(s) que você pode usar.
Política Obrigatória do Serviço IAM
Exemplos de política:
- Para Administradores: Para conceder a um grupo acesso aos recursos do Network Firewall, use
Allow group <GroupName> to manage network-firewall-family in compartment <CompartmentName>
Se você não conhece as políticas, consulte Conceitos Básicos de Políticas. Para obter mais detalhes sobre políticas para o serviço Network Firewall, consulte Políticas do IAM (Identity and Access Management) para o serviço Network Firewall.
Movendo Firewalls e Políticas para Outro Compartimento
Você pode mover firewalls e políticas de rede de um compartimento para outro. Depois de mover um firewall ou uma política para o novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso ao firewall ou à política por meio da Console, do SDK ou da CLI. Para obter mais informações, consulte Gerenciando Compartimentos.
Monitorando Recursos
Você pode monitorar a integridade, a capacidade e o desempenho de seus recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte Monitoramento e Notificações.
Criando Automação com Eventos
próximas etapas
Para configurar um firewall de rede, consulte o Guia de Início Rápido do Firewall de Rede.