此图显示了通过网络防火墙从互联网到安全公共子网中的公共 VM 的南北入站流量。它包括一个安全 VCN，但您也可以具有多个安全 VCN。

受保护 VCN (10.10.0.0/16) 包含以下组件：

• 防火墙子网 (10.10.1.0/24)，包括其网络防火墙和防火墙 IP 地址。确保防火墙子网位于公共子网中，因为我们正在保护公共子网负载。您仍然可以使用相同的防火墙来保护西北南的流量，但如果您要保护公共负载并希望使用互联网网关入口路由功能，则必须在公共子网中部署防火墙。
• 安全的公共子网 (10.10.0.0/24)，其中包括应用程序工作负载。此子网中有一个 VM，其中包含 10.10.0.10 专用 IP 和与其关联的公共 IP。
• 用于支持从 Internet 连接的 Internet 网关。
• 与防火墙子网、安全公共子网和互联网网关关联的路由表，确保流量通过网络防火墙进行路由。

从互联网到虚拟机的南北通信流量如下：

1. 使用 VM 的公共 IP 从 Internet 移动到工作负载 VM (10.10.0.10) 的流量通过 Internet 网关路由表（目标 10.10.0.0/24）。
2. 从 Internet 网关路由表到基于工作负载 VM 目标 (10.10.0.10) 的网络防火墙的 IP 地址。
3. 防火墙根据防火墙策略检查并保护流量。检查和保护后，通过防火墙子网路由表（目标 10.10.0.0/24）从防火墙 IP 地址退出通信。
4. 防火墙子网路由表将流量发送到工作负荷 VM。
5. 由于在每个路由表上都存在对称路由，因此返回流量来自负载 VM，并且遵循相同的路径。