此映像檔顯示從受保護公用子網路中的公用 VM 到透過 NAT 閘道透過網路防火牆之網際網路的北向外送流量。它包含一個安全 VCN,但同樣地,您可以有多個安全 VCN。
保護的 VCN (10.10.0.0/16) 包含下列元件:
- 防火牆子網路 (10.10.1.0/24),其中包含與其之間的網路防火牆和防火牆 IP 位址。請確定防火牆子網路位於公用子網路中,因為我們正在保護公用子網路工作負載。您仍然可以使用相同的防火牆來保護西北部的流量,但如果您要保護公用工作負載,並且想要使用網際網路閘道輸入路由功能,則必須在公用子網路中部署防火牆。
- 包含應用程式工作負載的安全專用子網路 (10.10.0.0/24)。此子網路中有一個具備 10.10.0.10 專用 IP 的 VM。
- 支援傳出網際網路連線的 NAT 閘道。
- 路由表與防火牆子網路、受保護的專用子網路及 NAT 閘道關聯,可確保透過網路防火牆遞送流量。
使用 NAT 閘道從虛擬機器到網際網路的北方流量如下:
- 從工作負載 VM (10.10.0.10) 移至網際網路目的地 (8.8.8.8) 的流量會透過「保護的子網路路由表」(目的地為 0.0.0.0/0) 遞送。
- 受保護子網路路由表的流量會根據網際網路目的地傳送至網路防火牆的 IP 位址。
- 防火牆會根據防火牆策略檢查及保護流量。檢查並保護之後,會透過防火牆子網路路由表 (目的地 0.0.0.0/0) 從防火牆 IP 位址離開流量。
- 防火牆子網路路由表會將流量傳送至 NAT 閘道和網際網路目的地。
- 傳回流量會從網際網路傳送至 NAT 閘道,而且會依循相同的路徑,因為每個路由表都有對稱路由。