Oracle Cloud Infrastructureドキュメント

ファイアウォールへのネットワーク・トラフィックのルーティング

ネットワーク・トラフィックをファイアウォールにルーティングする方法を示すシナリオ。

このトピックでは、トラフィックをネットワーク・ファイアウォールにルーティングするシナリオを示します。ネットワーク・ルーティングの詳細は、VCNルート表およびVCN内ルーティングを参照してください。

パフォーマンスを向上させるには、ファイアウォール・サブネットにアタッチされたセキュリティ・リストにステートフル・ルールを追加しないこと、またはステートフル・ルールを含むネットワーク・セキュリティ・グループ(NSG)にファイアウォールを含めることを検討してください。

ファイアウォール・サブネットおよびVNICに関連付けられたセキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)ルールは、ファイアウォールの前に評価されます。トラフィックを適切に評価できるように、セキュリティ・リストまたはNSGルールによってファイアウォールに入ることを許可してください。

ファイアウォールで使用するポリシーにルールが指定されていない場合、ファイアウォールによってすべてのトラフィックが拒否されます。

ファイアウォールを介したオンプレミス・トラフィックのルーティング

Dynamic Routing Gateway (DRG)を使用して、オンプレミス・ネットワークからVCNへのルーティングを設定する方法の例。

  1. VCN内にDMZサブネットを作成します。
  2. DMZサブネットで、ファイアウォールを作成してファイアウォール・ポリシーに関連付けます。
  3. 動的ルーティング・ゲートウェイ(DRG)を作成します。
  4. DRGルート表を作成します。
  5. VCNをDRGにアタッチします。アタッチメントを設定する際、「VCNをDRGにアタッチします」のステップ6で指定したように、DRGルート表をアタッチメントに関連付けます。
  6. VCN CIDR内の宛先CIDRを指定するDRGルート表にVCN内ルート・ルールを追加し(たとえば10.0.1.0/24)、ファイアウォールIPアドレスをターゲットにします(たとえば10.0.2.2)。
  7. ファイアウォールを介してすべてのトラフィックをオンプレミスまたは他のリージョンにルーティングするように、プライベート・サブネットを更新します。
  8. DRGを介して同じまたは異なるリージョン内のオンプレミスまたは別のVCNにトラフィックルーティングするように、DMZサブネットを更新します。

    この図は、DRGを使用したVCNへのオンプレミス・ルーティングを示しています。
    コールアウト1: 動的ルーティング・ゲートウェイ(DRG)ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 ネットワーク・ファイアウォール(10.0.2.2)
    コールアウト2: DMZサブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 DRG
    コールアウト3: DMZサブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 ネットワーク・ファイアウォール(10.0.2.2)
ファイアウォールを介したインターネット・トラフィックのルーティング

この例では、インターネットからファイアウォールにルーティングが構成されています。トラフィックは、IGWからファイアウォールを介してルーティングされ、次にファイアウォール・サブネットからパブリック・サブネットにルーティングされます。

  1. VCN内にDMZサブネットを作成します。
  2. DMZサブネットで、ファイアウォールを作成してポリシーに関連付けます。
  3. VCN内にインターネット・ゲートウェイを作成します。
  4. VCN CIDR内の宛先CIDRを指定するIGWルート表にVCN内ルート・ルールを追加し(たとえば10.0.1.0/24)、ファイアウォールIPアドレスをターゲットにします(たとえば10.0.2.2)
  5. ファイアウォールを介してすべてのトラフィックをインターネットにルーティングするように、パブリック・サブネット・ルート表を更新します。
  6. IGWを介してトラフィックをインターネットにルーティングするように、DMZサブネットを更新します。

    この図は、インターネット・ゲートウェイからファイアウォールへのルーティングを示しています。
    コールアウト1: インターネット・ゲートウェイ(IGW)ルート表
    宛先CIDR ルート・ターゲット
    VCN (10.0.0.0/16) ネットワーク・ファイアウォール(10.0.2.2)
    コールアウト2: DMZサブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 IGW
    コールアウト3: パブリック・サブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 ネットワーク・ファイアウォール(10.0.2.2)
ファイアウォールを介したVCN内トラフィックのルーティング

この例では、トラフィックはサブネットAからファイアウォールにルーティングされます。ファイアウォールから、"local" (表示されていない)への暗黙的な10.0.0.0を使用してサブネットBにトラフィックがルーティングされます。

  1. VCN内にサブネットAを作成します。
  2. VCN内にサブネットBを作成します。
  3. VCN内にDMZサブネットを作成します。
  4. DMZサブネットで、ファイアウォールを作成してポリシーに関連付けます。
  5. VCN CIDR内の宛先CIDRを指定するサブネットAルート表にVCN内ルート・ルールを追加し(たとえば10.0.1.0/24)、ファイアウォールIPアドレスをターゲットにします(たとえば10.0.2.2)
  6. ファイアウォールを介してVCN (10.0.3.0/24)の宛先を指定するルート・ルールをサブネットBに追加します。

    この図は、ネットワーク・ファイアウォールを介したVCN内ルーティングを示しています。
    コールアウト1: リージョナル・プライベート・サブネットAルート表
    宛先CIDR ルート・ターゲット
    サブネットB (10.0.1.0/24) ネットワーク・ファイアウォール(10.0.2.2)
    コールアウト2: リージョナル・プライベート・サブネットBルート表
    宛先CIDR ルート・ターゲット
    サブネットA (10.0.3.0/24) ネットワーク・ファイアウォール(10.0.2.2)