Esta imagem mostra uma arquitetura de rede na qual os recursos públicos e privados são isolados em sub-redes separadas, 10.0.1.0/24 e 10.0.2.0/24 dentro da VCN 10.0.0.0/16.

• O tráfego entre 10.0.1.0/24 e os fluxos da internet por meio de um gateway da internet. Uma regra de roteamento direciona o tráfego destinado à internet pública por meio do gateway de internet. Uma regra de segurança com informações de estado permite o tráfego de entrada de qualquer host para a porta 80. Outra regra de segurança com informações de estado permite tráfego de saída TCP/1521 para 10.0.2.0/24.
• Os recursos na 10.0.2.0/24 não têm conectividade direta com a internet pública. Uma regra de roteamento direciona o tráfego de saída para o gateway NAT, gateway de serviço ou DRG (Dynamic Routing Gateway). Uma regra de segurança com informações de estado permite tráfego de entrada TCP/1521 de 10.0.1.0/24.