Documentação do Oracle Cloud Infrastructure

Visão geral do serviço Network Firewall

O serviço Network Firewall é um firewall de rede com detecção e prevenção de invasões para redes virtuais na nuvem (VCNs).

Alimentado pela Palo Alto Networks®, o serviço Network Firewall oferece visibilidade do tráfego de rede que entra em ambientes de nuvem (norte-sul) e entre sub-redes (leste-oeste). Você pode usar o firewall de rede com outros serviços de segurança para criar uma solução de segurança de rede em camadas.

Um firewall de rede é uma instância altamente disponível e escalável que você cria em uma sub-rede. O firewall aplica a lógica de negócios definida em uma política ao tráfego de rede. Use o roteamento na VCN para direcionar o tráfego de/para o firewall.

O serviço Network Firewall fornece uma taxa de throughput de 4 Gbps.

Recursos de Segurança

O Oracle Cloud Infrastructure Network Firewall fornece os seguintes recursos de segurança:
  • Filtragem de rede com monitoramento de estado: Crie regras de filtragem de rede com monitoramento de estado que permitam ou neguem o tráfego de rede com base no IP de origem (IPv4 e IPv6), IP de destino (IPv4 e IPv6), porta e protocolo.
  • URL e filtragem FQDN personalizados: restrinja o tráfego de entrada e saída a uma lista especificada de FQDNs (nomes de domínio totalmente qualificados), incluindo curingas e URLs personalizados.
  • IDPS (Prevenção e Detecção de Invasão): Monitore as redes para obter atividades mal-intencionadas. Registre informações, reporte ou bloqueie a atividade.
  • Inspeção SSL: decriptografe e inspecione o tráfego criptografado com TLS com suporte a ESNI para vulnerabilidades de segurança. A ESNI (Indicação de Nome de Servidor Criptografado) é uma extensão TLSv1.3 que criptografa a SNI (Indicação de Nome de Servidor) no handshake TLS.
  • Inspeção de tráfego dentro da sub-rede da VCN: roteie o tráfego entre duas sub-redes da VCN por meio de um firewall de rede.
  • Inspeção de tráfego entre VCN: roteie o tráfego entre duas VCNs por meio de um firewall de rede.

Casos de Uso do Firewall de Rede

Aqui estão alguns casos de uso comuns do firewall de rede. Cada cenário usa o roteamento dentro da VCN para rotear o tráfego para o firewall. Consulte Roteamento Dentro da VCN para obter mais informações.

Protegendo o tráfego entre uma rede on-premises e uma VCN

Neste exemplo, o roteamento é configurado de uma rede on-premises por meio de um DRG (gateway de roteamento dinâmico) para o firewall. O tráfego é roteado do DRG, por meio do firewall e, em seguida, da sub-rede do firewall para uma sub-rede privada.
Diagrama de roteamento de um DRG por meio de um firewall e, em seguida, para uma sub-rede privada.
Callout 1: Tabela de roteamento do gateway de roteamento dinâmico (DRG)
CIDR de Destino Destino da rota
0.0.0.0/0 Network Firewall (10.0.2.2)
Callout 2: Tabela de roteamento da sub-rede DMZ
CIDR de Destino Destino da rota
0.0.0.0/0 DRG
Callout 3: Tabela de roteamento da sub-rede DMZ
CIDR de Destino Destino da rota
0.0.0.0/0 Network Firewall (10.0.2.2)

Protegendo o tráfego entre a internet e uma VCN

Neste exemplo, o roteamento é configurado da internet para o firewall. O tráfego é roteado do IGW por meio do firewall e, em seguida, da sub-rede do firewall para uma sub-rede pública.

Este diagrama mostra o roteamento da internet por meio de um firewall e, em seguida, para uma sub-rede pública.
Callout 1: Tabela de roteamento do gateway de internet (IGW)
CIDR de Destino Destino da rota
VCN (10.0.0.0/16) Network Firewall (10.0.2.2)
Callout 2: Tabela de roteamento da sub-rede pública DMZ
CIDR de Destino Destino da rota
0.0.0.0/0 IGW
Callout 3: Tabela de roteamento de sub-rede pública
CIDR de Destino Destino da rota
0.0.0.0/0 Network Firewall (10.0.2.2)

Protegendo o tráfego entre sub-redes em uma VCN

Neste exemplo, o roteamento é configurado de uma sub-rede para o firewall. O tráfego é roteado da Sub-rede A por meio do firewall e, em seguida, da sub-rede do firewall para a Sub-rede B.

Este diagrama mostra o roteamento da Sub-rede A por meio de um firewall e, em seguida, para a Sub-rede B.
Callout 1: Tabela de roteamento da sub-rede privada regional A
CIDR de Destino Destino da rota
Sub-rede B (10.0.1.0/24) Network Firewall (10.0.2.2)
Callout 2: Tabela de roteamento da sub-rede privada regional B
CIDR de Destino Destino da rota
Sub-rede A (10.0.3.0/24) Network Firewall (10.0.2.2)

Regiões e Domínios de Disponibilidade

Você pode usar o serviço Network Firewall em todas as regiões. Para obter uma lista de regiões suportadas e informações gerais, consulte Regiões e Domínios de Disponibilidade.

Ao criar um firewall, você pode criá-lo em uma região ou em um domínio de disponibilidade específico dentro de uma região. O padrão quando você cria um firewall é regional.

Ao planejar um firewall de rede, leve em consideração os seguintes fatores:
  • As instâncias de firewall regionais são distribuídas em todos os domínios de disponibilidade da região, o que reduz o risco de falha do AD.
  • Os firewalls regionais são de alta disponibilidade e têm alta tolerância a falhas.
  • O uso de firewalls regionais pode adicionar latências intermediárias secundárias do domínio de disponibilidade. Por exemplo, se o cliente ou o servidor estiver em um domínio de disponibilidade diferente da instância do firewall, poderá haver latência em milissegundos. Se o cliente ou o servidor estiver no mesmo Domínio de disponibilidade da instância do firewall, a latência estará em microssegundos.
  • As instâncias de firewall específicas do domínio de disponibilidade são distribuídas em muitos domínios de falha dentro de um único domínio de disponibilidade especificado.
  • Os firewalls específicos do domínio de disponibilidade poderão causar o redirecionamento do tráfego se ele vier de uma sub-rede regional.

Conceitos do Serviço Network Firewall

Veja a seguir uma breve descrição dos principais conceitos e componentes do Network Firewall:
firewall
Um recurso de segurança que existe em uma sub-rede escolhida e controla o tráfego de rede de entrada e saída com base em um conjunto de regras de segurança. O tráfego é roteado de/para o firewall de recursos, como gateways de internet e DRGs (gateways de roteamento dinâmico). Para criar um firewall, você deve ter pelo menos uma política que possa anexar ao firewall. Para obter informações sobre como criar e gerenciar esse recurso, consulte Firewalls.
política
Uma política contém as regras que controlam como um firewall associado inspeciona, permite ou nega o tráfego da rede. Componentes de regra, como listas, segredos e perfis de decriptografia, ajudam a criar regras para a política. Você pode associar uma política a muitos firewalls. As políticas associadas a um ou mais firewalls não podem ser excluídas. Para excluir a política, primeiro associar o firewall a outra política, em seguida, exclua a política original. Para obter informações sobre como criar e gerenciar esse recurso, consulte Políticas e Criando Componentes da Política do Firewall de Rede.
domínio de disponibilidade
O centro de dados do Oracle Cloud Infrastructure em uma região geográfica que hospeda recursos de nuvem. Para obter mais informações, consulte Regiões e Domínios de Disponibilidade. Um firewall existe em um único Domínio de disponibilidade em uma região.
tráfego de rede norte-sul
Tráfego que entra na rede com base em uma origem externa.
tráfego de rede leste-oeste
Tráfego que viaja entre cargas de trabalho e sub-redes dentro de uma VCN.
DMZ (zona desmilitarizada)
Uma sub-rede que contém um firewall e adiciona uma camada de segurança à rede.

Maneiras de Acessar o Network Firewall

Você pode acessar o Oracle Cloud Infrastructure com a Console (uma interface baseada em navegador), ou a API REST. Instruções para Console e API estão incluídas em tópicos ao longo deste guia.

Para acessar a Console, você deve usar um navegador suportado. Você pode usar o link Console na parte superior desta página para ir até a página de acesso. Informe a tenancy, o nome de usuário e a senha.

Autenticação e Autorização

Cada serviço do Oracle Cloud Infrastructure integra-se ao serviço IAM para autenticação e autorização em relação a todas as interfaces (a Console, SDK ou CLI e API REST).

Um administrador da sua organização precisa configurar grupos , compartimentos e políticas  que controlem quais usuários podem acessar quais serviços, quais recursos e o tipo de acesso. Por exemplo, as políticas controlam quem pode criar novos usuários, criar e gerenciar a rede na nuvem, criar instâncias, criar buckets, fazer download de objetos e assim por diante. Consulte Como as Políticas Funcionam para obter mais informações.

Se você for um usuário comum (não um administrador) que precisa usar os recursos do Oracle Cloud Infrastructure que sua empresa possui, entre em contato com um administrador para configurar um ID de usuário para você. O administrador pode confirmar o(s) compartimento(s) que você pode usar.

Movendo Firewalls e Políticas para Outro Compartimento

Você pode mover firewalls e políticas de rede de um compartimento para outro. Depois de mover um firewall ou uma política para o novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso ao firewall ou à política por meio da Console, do SDK ou da CLI. Para obter mais informações, consulte Gerenciando Compartimentos.

Monitorando Recursos

Você pode monitorar a integridade, a capacidade e o desempenho de seus recursos do Oracle Cloud Infrastructure usando métricas, alarmes e notificações. Para obter mais informações, consulte Monitoramento e Notificações.

Para obter informações sobre métricas disponíveis do serviço Network Firewall e como exibi-las, consulte Métricas.

Criando Automação com Eventos

Você pode criar automação com base nas alterações de estado de seus recursos do Oracle Cloud Infrastructure usando tipos de evento, regras e ações. Para obter mais informações, consulte Visão Geral do Serviço Events.