通过甲骨文云基础设施网络防火墙服务保障您的工作负载安全

甲骨文云基础设施（OCI）提供了顶级的安全技术和操作流程，以保护其企业云服务。然而，云安全是建立在共享责任模型之上的。甲骨文负责底层基础设施的安全，比如数据中心设施、硬件以及管理云操作和服务的软件。客户则负责保护他们的工作负载，并安全配置他们的服务及应用程序，以满足合规义务。

OCI的网络服务提供了安全列表和网络安全组，用于虚拟云网络（VCN），客户可以利用它们来保护自己的工作负载。许多客户还需要入侵预防系统、入侵检测、SSL检查、URL过滤、流量检查等。

甲骨文与帕洛阿尔托网络合作，为您的OCI VCN提供甲骨文云基础设施网络防火墙服务。这是一个下一代的托管网络防火墙服务，由帕洛阿尔托网络提供动力。甲骨文云基础设施网络防火墙服务提供以下安全特性：

• 有状态网络过滤：创建有状态网络过滤规则，根据源 IP（IPv4 和 IPv6）、目的 IP（IPv4 和 IPv6）、端口和协议允许或拒绝网络流量。
• 自定义 URL 和 FQDN 过滤：限制出入流量至指定的完全限定域名（FQDN）列表，包括通配符和自定义 URL。
• 入侵检测和预防（IDPS）：监控您的网络以检测恶意活动。记录信息、报告或阻止活动。
• SSL 检查：解密并检查 TLS 加密流量，支持加密服务器名称指示（ESNI）以发现安全漏洞。ESNI 是 TLSv1.3 的一个扩展，用于加密 TLS 握手中的服务器名称指示（SNI）。
• 日志记录：网络防火墙与甲骨文云基础设施日志记录集成。根据防火墙的策略规则启用日志。
• 指标：网络防火墙与甲骨文云基础设施监控集成。使用监控服务功能基于诸如阻止请求的数量等指标启用警报。
• Intra-VCN 子网流量检查：通过网络防火墙路由两个 VCN 子网之间的流量。
• Inter-VCN 流量检查：通过网络防火墙路由两个 VCN 之间的流量。

本参考架构展示了您如何使用 OCI 网络防火墙服务保护在甲骨文云基础设施上运行的工作负载，并提供了一个基于 Terraform 的模板来部署架构。

架构

此参考架构展示了组织如何使用网络防火墙保护在OCI中部署的工作负载，并通过利用内部虚拟云网络（VCN）路由功能简化设计。为了保护这些工作负载，甲骨文建议使用分布式部署来对网络进行分段，其中流量通过网络防火墙路由，并连接到VCN中的多个不同子网。

在部署OCI网络防火墙之前，您必须定义一个防火墙策略。OCI网络防火墙是特定VCN的防火墙子网中一个给定可用性域内的原生高可用服务。部署后，您可以使用防火墙IP地址通过VCN路由表路由您的流量。您必须对OCI网络防火墙IP地址进行对称路由，并应用所需的防火墙策略以支持您的用例。

VCN之间的所有流量，无论是来往互联网、来往本地，还是来往甲骨文服务网络，都可以通过网络防火墙进行路由和检查，该网络防火墙为各种规模的组织提供下一代防火墙功能。使用网络防火墙及其高级功能与其他OCI安全服务一起，创建分层的网络安全解决方案。一旦您在所选子网中创建了网络防火墙，它就是一个原生可扩展的服务。防火墙将业务逻辑应用于附加的防火墙策略中指定的流量。VCN中的路由用于指导网络流量到达和离开防火墙。

您可以将网络防火墙部署为：

• 分布式网络防火墙模型：建议在其专用VCN中部署OCI网络防火墙。
• 过境网络防火墙模型：在中心VCN中部署OCI网络防火墙，并通过动态路由网关连接到辐射VCN。
• 此架构概述了如何在不同模型中部署网络防火墙，不同的流量流动和相关组件。

下图展示了此参考架构。

通过互联网网关，北向南向的入站互联网流量通过OCI网络防火墙，在一个安全的VCN中流动。

北向南向的出站互联网流量通过NAT网关，并通过OCI网络防火墙，在一个安全的VCN中流动。

北向南向的来自本地的入站流量通过OCI网络防火墙，在一个安全的VCN中流动。

北向南向的来自本地的出站流量通过OCI网络防火墙，在一个安全的VCN中流动。

东向西向，从子网A到子网B的流量通过OCI网络防火墙，在一个安全的VCN中流动。

东向西向，从子网B到子网A的流量通过OCI网络防火墙，在一个安全的VCN中流动。

东向西向，从子网A到OCI服务的流量通过OCI网络防火墙，在一个安全的VCN中流动。

过境OCI网络防火墙部署架构。

东向西向，从辐射安全型B VCN到辐射安全型C VCN的流量通过位于枢纽安全型VCN-A中的OCI网络防火墙。

该架构包含以下组件：

地域

甲骨文云基础设施地域是一个包含一个或多个数据中心的地理区域，这些数据中心称为可用性域。各个地域相互独立，它们之间可能相隔很远（跨越国家甚至大洲）。

分区

分区是甲骨文云基础设施租户中跨地域的逻辑分区。使用分区来组织您在甲骨文云中的资源，控制对资源的访问，并设置使用配额。要控制对特定分区中资源的访问，您需要定义策略，指定谁可以访问资源以及他们可以执行什么操作。

可用性域

可用性域是地域内独立的、独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，提供了容错能力。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该地域内的其他可用性域。

故障域

故障域是一个可用性域内的硬件和基础设施分组。每个可用性域有三个具有独立电源和硬件的故障域。当您将资源分布在多个故障域中时，您的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

VCN是您在甲骨文云基础设施地域中设置的可定制的、软件定义的网络。与传统数据中心网络一样，VCN使您能够完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块，您可以在创建VCN后更改这些块。您可以将VCN分割成子网，这些子网可以限定在一个地域或一个可用性域。每个子网由一个连续的地址范围组成，这些地址不与VCN中的其他子网重叠。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

安全列表

对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的源、目的地和类型。

网络防火墙

这是一种安全资源，存在于您选择的子网中，根据一组安全规则控制进出网络流量。每个防火墙都与一个策略关联。流量通过如互联网网关、NAT网关、服务网关和动态路由网关（DRG）等资源，路由到防火墙和从防火墙路由出来。

网络防火墙策略

防火墙策略包含所有控制防火墙如何检查、允许或拒绝网络流量的配置规则。每个防火墙与单一策略关联，但一个策略可以关联到多个防火墙。在策略中，列表和映射是用来帮助您以清晰、简洁的方式表达规则的对象。

路由表

虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常通过网关。在安全VCN中，您可以有以下路由表：

• 安全VCN中的防火墙子网路由表确保到互联网、本地、子网或VCN的流量到达目的地，此路由表与网络防火墙子网关联。
• 互联网网关路由表确保从互联网来的任何入站流量都通过网络防火墙，此路由表与互联网网关关联。
• NAT网关路由表确保来自互联网的任何回应流量都通过网络防火墙，此路由表与NAT网关关联。
• 服务网关路由表确保来自甲骨文服务网络通信的任何回应流量都通过网络防火墙，此路由表与服务网关关联。
• 每个路由表确保您可以在VCN内通信，但如果您想在VCN的子网内使用网络防火墙，请确保正确的路由指向网络防火墙IP地址。
• DRG防火墙VCN入口路由表附加到安全VCN附件，将任何来自辐射VCN/本地的入站流量通过动态路由网关发送到网络防火墙的私有IP地址。
• 对于通过动态路由网关附加到防火墙VCN的每个辐射，定义一个不同的路由表并附加到关联的子网。此路由表将关联辐射VCN的所有流量（0.0.0.0/0）通过网络防火墙的私有IP地址路由到动态路由网关。 为了保持流量对称，请确保您有正确的路由表条目指向网络防火墙。

私有IP

用于定址实例的私有IPv4地址及相关信息。每个VNIC有一个主要的私有IP，您可以添加和移除次要的私有IP。实例上的主要私有IP地址在实例启动时附加，并且在实例的生命周期内不变。次要IP也应属于同一VNIC子网的CIDR。次要IP用作浮动IP，因为它可以在同一子网内不同实例的不同VNIC之间移动。您也可以将其用作托管不同服务的不同端点。

OCI网络防火墙不支持也不需要次要IP。使用主防火墙IP地址将流量路由到防火墙进行流量检查。

公共IP

网络服务定义了一个由甲骨文选择的公共IPv4地址，映射到一个私有IP。

• 临时性：此地址是临时的，存在于实例的生命周期内。
• 保留：此地址超出实例的生命周期而持续存在。它可以取消分配并重新分配给另一个实例。

计算形状

计算实例的形状指定了分配给实例的CPU数量和内存量。计算形状还决定了计算实例可用的VNIC数量和最大带宽。

虚拟网络接口卡（VNIC）

甲骨文云基础设施数据中心的服务使用物理网络接口卡（NIC）。虚拟机实例使用与物理NIC关联的虚拟NIC（VNIC）进行通信。每个实例都有一个在启动时自动创建和附加的主VNIC，在实例的生命周期内都可用。DHCP仅提供给主VNIC。您可以在实例启动后添加次级VNIC。您应为每个接口设置静态IP。

互联网网关

互联网网关允许VCN中的公共子网与公共互联网之间的流量。

NAT网关

NAT网关使VCN中的私有资源能够访问互联网上的主机，而不将这些资源暴露给来自互联网的入站连接。

服务网关

服务网关提供从VCN到其他服务（如甲骨文云基础设施对象存储）的访问。从VCN到甲骨文服务的流量通过甲骨文网络结构传输，永远不会穿越互联网。

FastConnect

甲骨文云基础设施FastConnect提供了一种简便的方法来创建您的数据中心与甲骨文云基础设施之间的专用、私有连接。与基于互联网的连接相比，FastConnect提供更高带宽选项和更可靠的网络体验。

建议

以下建议可作为起点。您的需求可能与此处描述的架构不同。

VCN

• 创建VCN时，根据您计划附加到VCN子网中的资源数量，确定所需的CIDR块数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。
• 选择不与任何您打算建立私有连接的其他网络（在甲骨文云基础设施、您的本地数据中心或其他云提供商中）重叠的CIDR块。
• 创建VCN后，您可以更改、添加和移除其CIDR块。
• 在设计子网时，考虑您的流量流动和安全需求。将特定层或角色内的所有资源附加到同一个子网，这可以作为一个安全边界。

网络防火墙策略

• 参考“了解更多”部分的网络防火墙策略文档，以获取最新的安全策略、端口和协议信息。确保您已将所需策略推送到网络防火墙。

网络防火墙

参考“了解更多”部分的网络防火墙文档，以了解更多最新信息。以下是一些建议：

• 作为最佳实践，不要在OCI网络防火墙子网中部署任何其他资源，因为网络防火墙无法检查来自防火墙子网内部源或目的地的流量。
• 部署分布式架构，并使用区域性防火墙子网。
• 利用日志记录来提高安全性并查看流量流动。
• 您可以通过使用指标、警报和通知来监控网络防火墙的健康状况、容量和性能。
• 为了更好地利用防火墙，确保其能够保护所有流量，请确保不要在附加到防火墙子网的安全列表中添加有状态规则，也不要将防火墙包含在包含有状态规则的网络安全组（NSG）中。
• 与防火墙子网和VNICs相关联的安全列表或网络安全组（NSG）规则在防火墙之前进行评估。确保任何安全列表或NSG规则允许流量进入防火墙，以便进行适当的评估。
  

考虑因素

在使用OCI的网络防火墙保护工作负载时，考虑以下因素：

性能

• 选择合适的实例大小，由计算形状确定，决定了最大可用吞吐量、CPU、RAM和接口数量。
• 组织需要了解哪些类型的流量穿越环境，确定适当的风险水平，并根据需要应用适当的安全控制。启用的安全控制组合不同，对性能有影响。
• 考虑为FastConnect或VPN服务添加专用接口。考虑使用大型计算形状以获得更高的吞吐量和更多的网络接口。
• 进行性能测试以验证设计能否承受所需的性能和吞吐量。
  

安全

• 您必须对OCI网络防火墙进行对称路由，以确保流量可以通过网络防火墙从源头到达目的地。
• 与防火墙子网和VNICs相关联的安全列表或网络安全组（NSG）规则在防火墙之前进行评估。确保任何安全列表或NSG规则允许流量进入防火墙，以便进行适当的评估。

日志

• 如果与策略中的规则支持，您可以为防火墙启用日志记录，并且您已订阅甲骨文云基础设施日志。日志显示日志活动和在指定时间框架内每个记录事件的详细信息。日志显示流量何时触发规则，并帮助您提高安全性。

可用性

• 将架构部署到不同的地理区域，以获得最大的冗余。为与本地网络的冗余连接配置与相关组织网络的点对点VPN。

成本

• 每个OCI网络防火墙都有成本，如果您有大量OCI VCN，请考虑使用组合的分布式和过境防火墙模型。仅在需要的地方部署网络防火墙。
  

部署

您可以通过控制台在OCI上部署网络防火墙。您也可以从GitHub下载代码，并根据您的特定业务需求定制代码来部署此架构。

使用GitHub上的Terraform代码进行部署：

1. 访问GitHub。
2. 克隆或下载仓库到您的本地计算机。
3. 遵循README文档中的指示。
   

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。