Esta imagem mostra o fluxo de tráfego de saída Norte-Sul de uma VM pública em uma Sub-rede Pública Protegida para a Internet por meio do Firewall de Rede por meio do gateway NAT. Ele inclui uma VCN Segura, mas da mesma forma, você pode ter várias VCNs protegidas.

A VCN segura (10.10.0.0/16) inclui os seguintes componentes:
  • Sub-rede de firewall (10.10.1.0/24) que inclui um endereço IP de Firewall de Rede e Firewall a ele. Certifique-se de que a Sub-rede de Firewall esteja em uma sub-rede pública, pois estamos protegendo as cargas de trabalho da sub-rede pública. Você ainda pode usar o mesmo Firewall para proteger o tráfego leste-oeste e norte-sul, mas se estiver protegendo cargas de trabalho públicas e quiser usar o recurso de roteamento de entrada do gateway de internet, deverá implantar o Firewall em uma sub-rede pública.
  • Sub-rede Privada Protegida (10.10.0.0/24) que inclui cargas de trabalho de aplicativos. Temos uma VM disponível nesta sub-rede com IP privado 10.10.0.10.
  • Gateway NAT para suportar conexão de internet de saída.
  • As tabelas de roteamento são associadas à sub-rede de firewall, à sub-rede privada protegida e ao gateway NAT, garantindo que o tráfego seja roteado por meio do Firewall de Rede.
O fluxo de tráfego Norte-Sul da máquina virtual para a internet usando o Gateway NAT é o seguinte:
  1. O tráfego que se move da VM da carga de trabalho (10.10.0.10) para o destino da Internet (8.8.8.8) é roteado por meio da Tabela de Roteamento de Sub-rede Protegida (destino 0.0.0.0/0).
  2. O Tráfego da Tabela de Roteamento de Sub-rede Protegida vai para o endereço IP do Firewall de Rede com base no destino da Internet.
  3. O firewall inspeciona e protege o tráfego de acordo com a política de firewall. Uma vez inspecionado e protegido, o tráfego sai do Endereço IP do Firewall por meio da Tabela de Roteamento de Sub-rede do Firewall (destino 0.0.0.0/0).
  4. A tabela de roteamento da Sub-rede de Firewall envia o tráfego ao Gateway NAT e ao destino da internet.
  5. O tráfego de retorno vem da internet para o gateway NAT e seguirá o mesmo caminho, pois temos um roteamento simétrico em vigor em cada tabela de roteamento.