Oracle Cloud Infrastructureドキュメント

ファイアウォールへのネットワーク・トラフィックのルーティング

ネットワーク・トラフィックをファイアウォールにルーティングする方法を示すシナリオ。

このトピックでは、トラフィックをネットワーク・ファイアウォールにルーティングするいくつかのシナリオを示します。ネットワーク・ルーティングの詳細は、次のリソースを参照してください:
重要

  • パフォーマンスを向上させるために、Oracleでは、ファイアウォール・サブネットにアタッチされているセキュリティ・リストにステートフル・ルールを追加したり、ステートフル・ルールを含むネットワーク・セキュリティ・グループ(NSG)にファイアウォールを含めることはお薦めしません。
  • ファイアウォール・サブネットおよびVNICに関連付けられたセキュリティ・リストまたはネットワーク・セキュリティ・グループ(NSG)ルールは、ファイアウォールの前に評価されます。トラフィックを適切に評価できるように、セキュリティ・リストまたはNSGルールによってファイアウォールに入ることを許可してください。
  • ファイアウォールで使用するポリシーにルールが指定されていない場合、ファイアウォールによってすべてのトラフィックが拒否されます。
ファイアウォールを介してオンプレミス・トラフィックをルーティングするには

Dynamic Routing Gateway (DRG)を使用してオンプレミス・ネットワークからOracle Cloud Infrastructure VCNにルーティングを設定する方法の例を次に示します。各ステップには、具体的な手順へのリンクが含まれています:

  1. VCN内にDMZサブネットを作成します。
  2. DMZサブネットで、ファイアウォールを作成してポリシーに関連付けます。
  3. 動的ルーティング・ゲートウェイ(DRG)を作成します。
  4. DRGルート表を作成します。
  5. VCNをDRGにアタッチします。アタッチメントを設定する際、「VCNをDRGにアタッチします」のステップ6で指定したように、DRGルート表をアタッチメントに関連付けます。
  6. VCN CIDR内の宛先CIDRを指定するDRGルート表にVCN内ルート・ルールを追加し(たとえば10.0.1.0/24)、ファイアウォールIPアドレスをターゲットにします(たとえば10.0.2.2)。
  7. ファイアウォールを介してすべてのトラフィックをオンプレミスまたは他のリージョンにルーティングするように、プライベート・サブネットを更新します。
  8. DRGを介して同じまたは異なるリージョン内のオンプレミスまたは別のVCNにトラフィックルーティングするように、DMZサブネットを更新します。

    この図は、DRGを使用したVCNへのオンプレミス・ルーティングを示しています。
    コールアウト1: 動的ルーティング・ゲートウェイ(DRG)ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 ネットワーク・ファイアウォール(10.0.2.2)
    コールアウト2: DMZサブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 DRG
    コールアウト3: DMZサブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 ネットワーク・ファイアウォール(10.0.2.2)
ファイアウォールを介してインターネット・トラフィックをルーティングするには

この例では、インターネットからファイアウォールにルーティングが構成されています。トラフィックは、IGWからファイアウォールを介してルーティングされ、次にファイアウォール・サブネットからパブリック・サブネットにルーティングされます。

  1. VCN内にDMZサブネットを作成します。
  2. DMZサブネットで、ファイアウォールを作成してポリシーに関連付けます。
  3. VCN内にインターネット・ゲートウェイを作成します。
  4. VCN CIDR内の宛先CIDRを指定するIGWルート表にVCN内ルート・ルールを追加し(たとえば10.0.1.0/24)、ファイアウォールIPアドレスをターゲットにします(たとえば10.0.2.2)
  5. ファイアウォールを介してすべてのトラフィックをインターネットにルーティングするように、パブリック・サブネット・ルート表を更新します。
  6. IGWを介してトラフィックをインターネットにルーティングするように、DMZサブネットを更新します。

    この図は、インターネット・ゲートウェイからファイアウォールへのルーティングを示しています。
    コールアウト1: インターネット・ゲートウェイ(IGW)ルート表
    宛先CIDR ルート・ターゲット
    VCN (10.0.0.0/16) ネットワーク・ファイアウォール(10.0.2.2)
    コールアウト2: DMZサブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 IGW
    コールアウト3: パブリック・サブネット・ルート表
    宛先CIDR ルート・ターゲット
    0.0.0.0/0 ネットワーク・ファイアウォール(10.0.2.2)
ファイアウォールを介してVCN内トラフィックをルーティングするには

この例では、トラフィックはサブネットAからファイアウォールにルーティングされます。ファイアウォールから、"local" (表示されていない)への暗黙的な10.0.0.0を使用してサブネットBにトラフィックがルーティングされます。

  1. VCN内にサブネットAを作成します。
  2. VCN内にサブネットBを作成します。
  3. VCN内にDMZサブネットを作成します。
  4. DMZサブネットで、ファイアウォールを作成してポリシーに関連付けます。
  5. VCN CIDR内の宛先CIDRを指定するサブネットAルート表にVCN内ルート・ルールを追加し(たとえば10.0.1.0/24)、ファイアウォールIPアドレスをターゲットにします(たとえば10.0.2.2)
  6. ファイアウォールを介してVCN (10.0.3.0/24)で宛先を指定するルート・ルールをサブネットBに追加します。

    この図は、ネットワーク・ファイアウォールを介したVCN内ルーティングを示しています。
    コールアウト1: リージョナル・プライベート・サブネットAルート表
    宛先CIDR ルート・ターゲット
    サブネットB (10.0.1.0/24) ネットワーク・ファイアウォール(10.0.2.2)
    コールアウト2: リージョナル・プライベート・サブネットBルート表
    宛先CIDR ルート・ターゲット
    サブネットA (10.0.3.0/24) ネットワーク・ファイアウォール(10.0.2.2)