注：

此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

使用 Oracle Cloud Infrastructure Network Firewall 保护 Oracle Cloud VMware Solution 负载

简介

本文档介绍如何使用 Oracle Cloud Infrastructure (OCI) 网络防火墙保护在 Oracle Cloud VMware Solution 中运行的负载。Oracle Cloud VMware Solution 允许您在 OCI 中创建和管理 VMware 软件定义的数据中心 (SDDC)。

OCI 网络防火墙可以部署为分布式模型或传输模型。在本教程中，我们将部署传输模型，其中网络防火墙位于分支 VCN 中的 Hub VCN、Oracle Cloud VMware Solution SDDC。使用 OCI 网络的 VCN 和入站路由功能，您可以通过在 Hub VCN 中运行的网络防火墙来检查流量。

注意：尽管本教程展示了 OCI 网络防火墙，但大多数概念都应该适用于其他任何第三方设备，例如 Fortinet、Palo Alto Networks、Cisco、Check Point 等。客户需要与特定的供应商/合作伙伴合作，以确保供应商支持该服务。

用例

通过 OCI 内部 VCN 路由功能，您可以轻松配置路由来支持 VCN 中的 OCI 工作负载流量，您还可以使用防火墙来检查/保护流量。我们将使用内部 VCN 和入站路由功能，其中包括：

VCN 内路由 - 这允许您使用定义的路由更改 VCN 内流量的直接路由。您可以定义子网级别的路由。
互联网网关/网络地址转换网关入站路由 - 这允许定义到 VCN 的入站公共流量到用户选择的下一个跃点的路由。
软件网关入站路由增强功能 - 这允许您为软件网关定义路由，以便将流量从 OCI 服务路由到 VCN 中的目标。

在本教程中，我们将验证不同的流量方案，OCI 网络防火墙支持的主要功能：

OCI 与 NSX 叠加之间的南北流量检查：保护从 OCI 本机计算 VM 到 Oracle Cloud VMware Solution NSX 工作负载 VM 的流量。
NSX 叠加与公共互联网之间的南北流量检查：保护从 Oracle Cloud VMware Solution NSX 负载到面向互联网的流量的流量。
OCI 子网和 VLAN 中的最新流量检查：保护从 OCI 本机 Comute VM 到 Oracle Cloud VMware Solution vSphere（托管在 OCI VLAN 上）的流量。
OCI 子网内的东西流量检查：从 OCI DB VM 到 Oracle Cloud VMware Solution SDDC ESXi 主机（托管在 OCI 子网中）的安全流量。
验证网络防火墙安全功能，包括入侵预防、入侵检测、URL 筛选和 SSL 入站检查。

注：无法使用传输模型检查 NSX 工作负载 VM 中的东西流量。如果要检查该流量，建议在 Oracle Cloud VMware Solution 环境中部署第三方合作伙伴解决方案，本教程中未介绍该解决方案。

目标

本教程介绍了 Oracle Cloud VMware 解决方案环境中 OCI 网络防火墙解决方案的 OCI 内部 VCN 路由功能。我们已经介绍了虚拟云网络路由使用场景，可简化您在 OCI 上的防火墙部署。

先决条件

可以根据拓扑图设置有效的内部 VCN 网络拓扑。
Hub VCN 中的工作 OCI 网络防火墙：
- 您可以按照此研讨会了解 OCI 网络防火墙解决方案。
部署在专用 VCN 中的可工作 Oracle Cloud VMware Solution SDDC 环境，您可以遵循 Oracle Cloud VMware Solution 文档。在本教程中，我们部署了单个主机 SDDC。
在本教程中，我们已在各个子网中部署了 Linux 堡垒 VM 和 Windows 跳转主机 VM，以描述 OCI 本机工作负载。这些 VM 可以替换为可托管应用程序或数据库的任何其他 VM。

注：在生产环境中，必须以高可用性部署防火墙。

体系结构

您可以参阅以下拓扑来支持此用例。

图 1

任务 1：配置 OCI 网络防火墙

以下各节展示了 OCI 网络防火墙所需的最低配置。有关更高级的配置，请参阅官方文档。

VCN 子网和 VLAN：第一步是确保您按“先决条件”部分所述创建了所需的 VCN 和子网，以支持您的用例拓扑。
- 您可以通过导航到虚拟云网络、虚拟云网络详细信息、资源来使用 OCI 控制台验证它们。
  - 用于在 Hub-VCN 中支持网络防火墙的防火墙子网 IAD 子网
  - Hub-VCN 中的 Public-Bastion-Subnet-IAD、JumpHost-Subnet-IAD 子网，用于支持 VM 用于流量验证
  - DB-Spoke-VCN-IAD VCN 中的 DB-Subnet-IAD 子网，用于支持数据库负载
  - 在部署 Oracle Cloud VMware Solution SDDC 期间，必须创建相应的子网和 VLAN
- 下图显示了 Hub-VCN (Firewall-VCN-IAD) 和关联的子网。
- 接下来，您需要部署部署部署在防火墙子网中的 OCI 网络防火墙。有关详细信息，请参阅官方文档。
OCI 网络防火墙策略规则：确保添加了必需的防火墙安全规则来支持用例通信。有关如何配置规则的更多信息，请遵循官方文档。
OCI 网络防火墙：在 Hub-VCN 中，根据先决条件部署网络防火墙。防火墙 VM 激活后，使用它来保护您的流量。
VCN、子网、VLAN 和 DRG 附件的路由表：您需要配置路由表，以反映用例拓扑的正确路由规则。在较高级别上，您需要按如下方式修改 VCN 中的路由表：
- 防火墙 VCN
  - 防火墙子网路由表：创建条目，将每个子网 CIDR 作为目标，将目标作为 Internet 网关、nat 网关、服务网关或 DRG。
  - 公共堡垒子网路由表：创建以每个子网 CIDR 作为目标且目标作为网络防火墙 IP 地址的条目。
  - 专用 JumpHost 子网路由表：创建以每个子网 CIDR 作为目标且目标作为网络防火墙 IP 地址的条目。
  - VCN 入站路由表：创建每个目标 CIDR 和目标作为防火墙 IP 地址的条目，以检查来自 Spoke VCN 的流量。
- Oracle Cloud VMware Solution VCN
  - 子网 SDDC 路由表：创建条目，将每个子网 CIDR 作为目标，将目标作为 DRG。
  - vSphere VLAN 路由表：创建以每个子网 CIDR 作为目标且目标为 DRG 的条目。
  - NSX Edge 上行链路 1 VLAN 路由表：创建以每个子网 CIDR 作为目标且目标为 DRG 的条目。
  - VCN 入站路由表：创建每个目标重叠 CIDR 以及目标为 NSX-EDGE-UPLINK IP 地址的条目，以确保流量返回到叠加主机。
- 数据库 VCN
  - DB 子网路由表：创建条目，将每个子网 CIDR 作为目标，将目标作为 DRG，以检查通过 OCI 网络防火墙的流量。
- DRG VCN 附件
  - 防火墙 VCN 附件路由表：创建条目，将每个 NSX 工作负载 CIDR 作为目标，将下一个跃点作为 Oracle Cloud VMware Solution VCN 附件。使用与 Oracle Cloud VMware Solution 和数据库 VCN 匹配的条件导入路由分配。
  - Oracle Cloud VMware Solution - VCN 附件路由表：创建条目，将每个子网 CIDR 作为目标，并将目标作为防火墙 VCN 附件来检查通过 OCI 网络防火墙的流量。
  - 数据库附件路由表：创建条目，将每个子网 CIDR 作为目标，将下一个跃点作为防火墙 VCN 附件来检查通过 OCI 网络防火墙的流量。

注：确保使用路由对称，以便同时在两个方向上正确检查流量。

任务 2：验证和检查来自 OCI 网络防火墙的流量

此时，您可以验证来自 JumpHost Windows VM、堡垒 VM、Oracle Cloud VMware Solution SDDC 环境、NSX 叠加 VM 和 DB Spoke VM 的流量，并检查来自 OCI 网络防火墙的流量。下图显示了按用例拓扑运行所需的 VM。

图 5

图 6

通过内部 VCN 路由 (IVR) 从 JumpBox Windows VM 到 NSX 叠加 VM 的南北流量检查

IVR 路由功能允许您在 VCN 内路由流量以及用户定义的路由到防火墙专用 IP。下图显示了逻辑通信流和不同的路由表，这些路由表与确保 JumpHost Windows VM 可以与 Oracle Cloud VMware Solution NSX 工作负载 VM 通信。
您已按如下方式推送必需的安全规则，这将确保通过防火墙检查流量。
您可以从 JumpHost Windows VM (10.40.1.160) 访问 Oracle Cloud VMware Solution 工作负载 VM (172.16.X.X)。
下图根据应用的安全规则显示 OCI 网络防火墙上的流量日志。

通过网络网关入站路由从 NSX 叠加 VM 到互联网的南北流量检查

通过 IVR 路由和网络网关入站路由功能，您可以将流量路由到 VCN 并使用用户定义的路由到网络地址转换网关。下图显示了逻辑通信流和用于通过 OCI 网络防火墙将 IVR 和网络网关入站路由从 Oracle Cloud VMware Solution 工作负载 VM 到 Internet 的不同路由表。
您已按如下方式推送必需的安全规则，这将确保通过防火墙检查流量。
您可以建立从 Oracle Cloud VMware Solution NSX Workload VM (172.16.1.5) 到 Internet (info.cern.ch) 的连接。
下图根据应用的安全规则显示 OCI 网络防火墙上的流量日志。

通过内部 VCN 路由 (IVR) 从 JumpBox Windows VM 到 vCenter 的东西流量检查

IVR 路由功能允许您在 VCN 内路由流量以及用户定义的路由到防火墙专用 IP。下图显示了逻辑通信流和关联的不同路由表，以确保 JumpHost Windows VM 可以访问 Oracle Cloud VMware Solution vCenter Server：
您已按如下方式推送必需的安全规则，这将确保通过防火墙检查流量。
您可以从 JumpHost Windows VM (10.40.1.160) 访问 Oracle Cloud VMware Solution vCenter Server (10.0.4.2)。
下图根据应用的安全规则显示 OCI 网络防火墙上的流量日志。

从 DB Spoke VM 和 ESXi 主机进行东西流量检查，反之亦然

IVR 路由功能允许您在 VCN 内路由流量以及用户定义的路由到防火墙专用 IP。下图显示了逻辑通信流和关联的不同路由表，以确保为安全起见，丢弃与 Oracle Cloud VMware Solution SDDC ESXi 主机的 Spoke VM 流量。
您已按如下方式推送必需的安全规则，这将确保通过防火墙检查流量。
您可以从数据库 VM (10.50.0.118) 访问 Oracle Cloud VMware Solution ESXi 主机 (10.0.0.110)，并且应根据应用的安全规则拒绝流量。
下图根据应用的安全规则显示 OCI 网络防火墙上的流量日志。

IPS/IDS、URL 过滤、SSL 转发代理和 SSL 入站检查流量，通过 VCN 间路由从 NSX 叠加 VM 到互联网

网络防火墙主要功能为您提供下一代防火墙功能，例如，使用入侵预防、入侵检测、URL 筛选、SSL 入站检查等，您可以将其与 Oracle Cloud VMware Solution SDDC 环境结合使用。
下图显示了逻辑通信流和与确保可以使用 NGFW 功能关联的不同路由表：
要了解有关这些功能的更多信息，请遵循 OCI 网络防火墙的官方文档。

IPS/IDS

下图显示了与防火墙关联的 IPS/IDS 安全规则。在我们的情况下，Jumpbox VM 将通过 HTTPS 下载 EICAR 恶意软件。
您可以从 Jumpbox VM 通过网络网关入站路由来访问面向互联网的恶意软件。流量将流经防火墙。
下图显示了 OCI 网络防火墙上的流量日志，并应根据 IDS 操作生成警报。

URL 筛选

下图显示了网络防火墙上的 URL 过滤安全规则。在我们的案例中，Oracle Cloud VMware Solution NSX Workload VM 正在访问特定的公共 URL，应该被拒绝。
下图显示了 OCI 网络防火墙上的流量日志，并应命中正确的安全规则。

SSL 正向代理和 SSL 入站检查

我们创建了解密规则来支持 SSL/TLS 流量，这将确保从 Jumpbox VM 到 Internet 的 HTTPS 流量使用 SSL 转发代理概要文件。
您可以通过 Jumpbox VM 的 NGW 通过 SSL/HTTPS 访问面向互联网的 URL。流量将流经防火墙。

致谢

授权者：

Arun Poonia（首席解决方案架构师）
Praveen Kumar Pedda Vakkalam（首席解决方案架构师）