此图显示了从安全 B VCN 中的 Web 或应用 VM 到安全 C VCN 中使用网络防火墙的数据库或应用 VM 的东西流量流。它包括三个虚拟云网络 (Virtual Cloud Network，VCN)：

安全的 VCN-A (10.10.0.0/16) 包括防火墙子网：

• 防火墙子网 (10.10.1.0/24) 用于部署 OCI 网络防火墙。必须在启动网络防火墙期间添加所需的防火墙策略。
• 动态路由网关附加：VCN-A 连接到动态路由网关，以确保 VCN 可以通过 DRG 相互通信。

安全的 VCN-B (10.20.0.0/16) 包括安全子网：

• 安全的子网 B (10.20.1.0/24) 用于部署云负载。从工作负载子网传出流量路由到网络防火墙专用 IP 地址，以便通过动态路由网关 VCN 连接进行检查和保护。
• 动态路由网关附加：VCN-B 连接到动态路由网关，以确保 VCN 可以通过 DRG 相互通信。

安全的 VCN-C (10.30.0.0/16) 包括安全子网：

• 安全的子网 C (10.30.1.0/24) 用于部署云负载。从工作负载子网传出流量路由到网络防火墙专用 IP 地址，以便通过动态路由网关 VCN 连接进行检查和保护。
• 动态路由网关附加：VCN-C 连接到动态路由网关，以确保 VCN 可以通过 DRG 相互通信。

东西流量从安全 VCN-B VM 流向安全 VCN-C VM。

1. 从受保护 VCN-B VM (10.20.1.10) 移至受保护 VCN-C VM (10.30.1.10) 的通信通过受保护子网 B 路由表（目标 10.30.1.0/24）进行路由。
2. 通过安全的 VCN-B 连接将流量传输到 DRG 并访问到 VCN-A 入站路由表。
3. 来自安全 VCN-A 入站路由表的流量基于目标 (10.30.1.10) 转到网络防火墙的 IP 地址。
4. 防火墙根据防火墙策略检查并保护流量。在通过防火墙子网路由表（通过 DRG 的目标 10.30.1.0/24）从防火墙 IP 地址中检出受保护的通信后。
5. 防火墙子网路由表发送安全子网 -C VM/工作负载中的所需目标。
6. 从安全的子网 -C VM 到通过 DRG 的网络防火墙的返回流量，并且会遵循相同的路径，因为每个路由表都设置了对称路由。