Esta imagem mostra o fluxo de tráfego de saída norte-sul de uma VM pública em uma Sub-rede Pública Protegida para a Internet por meio do Firewall de Rede por meio do gateway NAT. Ela inclui uma VCN Segura, mas da mesma forma você pode ter várias VCNs protegidas.
A VCN protegida (10.10.0.0/16) inclui os seguintes componentes:
- Sub-rede de Firewall (10.10.1.0/24) que inclui um Firewall de Rede e um endereço IP de Firewall para ele. Certifique-se de que a Sub-rede de Firewall esteja em uma sub-rede pública, pois estamos protegendo as cargas de trabalho da sub-rede pública. Você ainda pode usar o mesmo Firewall para proteger o tráfego leste-oeste, norte-sul, mas se estiver protegendo cargas de trabalho públicas e quiser usar o recurso de roteamento de entrada do gateway de internet, implante o Firewall em uma sub-rede pública.
- Sub-rede Privada Protegida (10.10.0.0/24) que inclui cargas de trabalho de aplicativos. Temos uma VM disponível nesta sub-rede com IP privado 10.10.0.10.
- Gateway NAT para suportar conexão de internet de saída.
- As tabelas de roteamento são associadas à sub-rede de firewall, à sub-rede privada protegida e ao gateway NAT, garantindo que o tráfego seja roteado por meio do Firewall de Rede.
O fluxo de tráfego norte-sul da máquina virtual para a internet usando o Gateway NAT é o seguinte:
- O tráfego que se move da VM da carga de trabalho (10.10.0.10) para o destino da internet (8.8.8.8) é roteado por meio da Tabela de Roteamento de Sub-rede Protegida (destino 0.0.0.0/0).
- O tráfego da Tabela de Roteamento de Sub-rede Protegida vai para o endereço IP do Firewall de Rede com base no destino da internet.
- O firewall inspeciona e protege o tráfego de acordo com a política de firewall. Uma vez inspecionado e protegido, o tráfego sai do Endereço IP do Firewall por meio da Tabela de Roteamento de Sub-rede do Firewall (destino 0.0.0.0/0).
- A tabela de roteamento da Sub-rede de Firewall envia o tráfego para o Gateway NAT e o destino da internet.
- O tráfego de retorno vem da internet para o gateway NAT e seguirá o mesmo caminho, pois temos roteamento simétrico em vigor em cada tabela de roteamento.