此图显示了通过网络防火墙从内部部署 VM 到安全专用子网中的 VM 的南北入站流量。它包括一个安全 VCN，但您也可以具有多个安全 VCN。

安全的 VCN-A (10.10.0.0/16) 包括以下组件：

• 防火墙子网 (10.10.1.0/24)，其中包括网络防火墙及其关联的 IP 地址。确保防火墙子网位于专用子网中，因为我们正在保护专用子网负载。
• 安全的专用子网 (10.10.0.0/24)，其中包括应用程序工作负载。此子网中有一个具有 10.10.0.10 专用 IP 地址的 VM。
• 动态路由网关，支持通过 FastConnect 和/或 VPN 与安全 VCN 的内部部署连接。DRG 包含一个附加到受保护 VCN 的附件，以及与该附件关联的 VCN 入站路由表。
• 路由表与防火墙子网、安全专用子网和互联网网关关联，确保流量通过网络防火墙进行路由。

从内部部署 VM 到安全的专用子网中的虚拟机通过南北通信流：

1. 从内部部署目标 (172.16.10.10) 到工作负载 VM (10.10.0.10) 的流量通过动态路由网关路由（目标 10.10.0.0/24）。
2. 来自 DRG 安全 VCN 连接和通过 VCN 入站路由表的流量基于目标 (10.10.0.10) 传输到网络防火墙的 IP 地址。
3. 防火墙根据防火墙策略检查并保护流量。检查和保护后，通过防火墙子网路由表（目标 10.10.0.0/24）从防火墙 IP 地址退出通信。
4. 防火墙子网路由表发送所需目标。
5. 流量从安全的专用 VM 退回到网络防火墙，并且将遵循相同的路径，因为每个路由表都存在对称路由。