甲骨文云 OCI 使用灵活网络负载均衡器结合Cisco威胁防御安全保护工作负载

Cisco安全防火墙威胁防御虚拟版将Cisco的下一代防火墙功能带到虚拟化环境中，使安全策略能够跨物理、虚拟和云环境以及云间一致地跟随工作负载。

Cisco安全防火墙支持Oracle云基础设施（OCI）平台，以实施其下一代安全功能，例如应用程序可见性和控制、入侵预防系统、高级恶意软件保护、URL过滤和虚拟私有网络。您还可以启用由Cisco Talos威胁情报研究团队提供的安全情报源。

架构

此参考架构说明了如何使用Cisco威胁防御防火墙、灵活网络负载均衡器和动态路由网关增强功能，在Oracle云基础设施（OCI）中保护部署的Oracle应用程序，如Oracle E-Business Suite和PeopleSoft。

为了保护这些流量，Oracle建议使用专用的虚拟云网络（VCN）进行网络分段，其中流量通过中转枢纽路由，并连接到多个不同的网络（辐射）。确保您已在灵活网络负载均衡器之间部署了多个威胁防御实例，被视为夹心拓扑。所有流量，无论是往返互联网、往返本地网络，还是往返Oracle服务网络，都通过Cisco安全防火墙的多层威胁预防技术进行路由。

在自己的虚拟云网络（VCN）中部署应用程序的每个层，该网络充当辐射。枢纽VCN包含Cisco威胁防御防火墙主动-主动集群、Oracle互联网网关、动态路由网关（DRG）、Oracle服务网关，以及内部和外部灵活网络负载均衡器。

枢纽VCN通过DRG连接到辐射VCN。所有辐射流量使用路由表规则通过DRG路由流量到枢纽，使用灵活网络负载均衡器由Cisco威胁防御防火墙集群进行检查。

在Cisco安全防火墙部署中，您使用安全防火墙管理中心来管理威胁防御。管理中心提供对威胁防御的完整和统一管理。轻松地从管理防火墙转移到控制应用程序，再到调查和修复恶意软件爆发。

以下图表展示了这一参考架构。

每个流量流都确保在Cisco威胁防御防火墙上开放网络地址转换（NAT）和安全策略。

南北向入站流量

以下图表展示了南北向入站流量如何从互联网和远程数据中心访问Web应用层。

南北向出站流量

以下图表展示了来自Web应用和数据库层的出站连接如何向互联网提供软件更新和访问外部Web服务。

东西向流量（Web至数据库）

以下图表展示了流量如何从Web应用层移动到数据库层。

东西向流量（数据库至Web）

以下图表展示了流量如何从数据库层移动到Web应用层。

东西向流量（Web应用至Oracle服务网络）

以下图表展示了流量如何从Web应用层移动到Oracle服务网络。

东西向流量（Oracle服务网络至Web应用）

以下图表展示了流量如何从Oracle服务网络移动到Web应用层。

架构包含以下组件：

Cisco安全防火墙威胁防御虚拟版

• Cisco安全防火墙威胁防御虚拟版提供了物理防火墙在虚拟机（VM）形式中的相同功能，为公共云和私有云提供内联网络安全和威胁预防，以保证一致的保护。
• Oracle E-Business Suite或PeopleSoft应用层
• 由Oracle E-Business Suite或PeopleSoft应用服务器和文件系统组成。
• Oracle E-Business Suite或PeopleSoft数据库层
• 由Oracle数据库组成，但不限于Oracle Exadata数据库云服务或Oracle数据库服务。

区域

• OCI区域是一个地理位置本地化的区域，包含一个或多个称为可用性域的数据中心。各区域相互独立，彼此之间可能相隔很远（横跨国家甚至大洲）。

可用性域

• 可用性域是区域内独立、互不依赖的数据中心。每个可用性域中的物理资源与其他可用性域的资源隔离，提供故障容忍性。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域内其他可用性域。

故障域

• 故障域是一个可用性域内的硬件和基础设施分组。每个可用性域拥有三个带有独立电力和硬件的故障域。当您在多个故障域中分配资源时，您的应用程序可以容忍物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是您在OCI区域内设置的可自定义的软件定义网络。与传统数据中心网络一样，VCN为您提供对网络环境的完全控制。VCN可以拥有多个非重叠的CIDR块，这些块在创建VCN后可以更改。您可以将VCN划分为子网，这些子网可以针对一个区域或一个可用性域。每个子网由一系列不与VCN中的其他子网重叠的地址组成。创建后可以更改子网的大小。子网可以是公共的或私有的。

枢纽VCN

• 枢纽VCN是一个集中的网络，部署了Cisco威胁防御防火墙。它为所有辐射VCN、OCI服务、公共端点和客户端以及本地数据中心网络提供安全连接。

应用层辐射VCN

• 应用层辐射VCN包含一个私有子网，用于托管Oracle E-Business Suite或PeopleSoft组件。

数据库层辐射VCN

• 数据库层辐射VCN包含一个私有子网，用于托管Oracle数据库。

负载均衡器

• OCI负载均衡服务提供从单一入口点到后端多个服务器的自动流量分配。

灵活网络负载均衡器

• OCI的灵活网络负载均衡器提供从一个入口点到您的虚拟云网络中多个后端服务器的自动流量分配。它在连接层操作，并根据第3层/第4层（IP协议）数据将传入的客户端连接负载均衡到健康的后端服务器。

安全列表

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

路由表

• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常通过网关。在枢纽VCN中，您有以下路由表：连接到管理子网的管理路由表，该子网具有连接到互联网网关的默认路由。连接到外部子网或默认VCN的外部路由表，用于将流量从枢纽VCN路由到互联网或本地目标。此路由表还具有指向您的本地子网的条目，使用动态路由网关。此配置确保在将来支持本地网络地址转换时不会发生流量中断。此路由表还具有通过动态路由网关路由的每个辐射VCN的CIDR块的条目。连接到内部子网的内部路由表，指向通过动态路由网关的辐射VCN的CIDR块。连接到诊断子网的诊断路由表，指向您想发送流量的CIDR块。连接到nlb子网的NLB路由表，通过动态路由网关指向本地子网的CIDR块。枢纽VCN入站路由表连接到枢纽VCN附件，以通过动态路由网关将任何来自辐射VCN的入站流量发送到内部网络负载均衡器。通过动态路由网关连接到枢纽的每个辐射VCN都有一个独特的路由表定义，并附加到相关联的子网。该路由表将相关辐射VCN的所有流量（0.0.0.0/0）通过内部灵活网络负载均衡器路由到动态路由网关，或者您也可以在更精细的级别上定义。连接到Oracle服务网关的Oracle服务网关路由表，用于Oracle服务网络通信。该路由将所有流量（0.0.0.0/0）指向Cisco威胁防御防火墙内部接口IP。为了保持流量对称性，还向每个Cisco威胁防御防火墙添加路由，将辐射流量的CIDR块指向内部（内部）子网的默认网关IP（枢纽VCN上的内部子网中可用的默认网关IP）和默认CIDR块（0.0.0.0/0）指向外部子网默认网关IP。

互联网网关

• 互联网网关允许VCN中的公共子网与公共互联网之间的流量。
• NAT网关
• NAT网关使VCN中的私有资源能够访问互联网上的主机，而无需将这些资源暴露给传入的互联网连接。
• 动态路由网关（DRG）
• DRG是一种虚拟路由器，为VCN和该区域外网络之间的私有网络流量提供路径，例如另一个OCI区域中的VCN、本地网络或另一个云提供商的网络。

服务网关

• 服务网关提供了从VCN到其他服务（如OCI对象存储）的访问。来自VCN的流量通过Oracle网络架构传输，从不经过互联网。
• FastConnect
• OCI FastConnect提供了一种简单的方式，在您的数据中心和OCI之间创建专用的私有连接。与基于互联网的连接相比，FastConnect提供了更高的带宽选项和更可靠的网络体验。
• 虚拟网络接口卡（VNIC）
• OCI数据中心的服务拥有物理网络接口卡（NIC）。虚拟机实例使用与物理NIC关联的虚拟NIC（VNIC）进行通信。每个实例都有一个在启动时自动创建和附加的主VNIC，在实例的整个生命周期内都可用。DHCP仅提供给主VNIC。您可以在实例启动后添加次级VNIC。为每个接口设置静态IP。

私有IP

• 用于地址实例的私有IPv4地址及相关信息。每个VNIC都有一个主要的私有IP，您可以添加和移除次级私有IP。实例上的主要私有IP地址在实例启动时附加，并在实例的整个生命周期内不会更改。次级IP也属于VNIC子网的同一CIDR。次级IP用作浮动IP，因为它可以在同一子网内的不同实例上的不同VNIC之间移动。您还可以将其用作不同服务的不同端点。
• 公共IP
• 网络服务定义了由Oracle选择的映射到私有IP的公共IPv4地址。公共IP有以下类型：短暂的：此地址是临时的，仅存在于实例的生命周期内。保留的：此地址在实例的生命周期之外仍然存在。它可以解除分配并重新分配给另一个实例。

源和目的地检查

• 每个VNIC都对其网络流量执行源和目的地检查。禁用此标志使Cisco威胁防御防火墙能够处理非针对防火墙的网络流量。
• 计算形状
• 计算实例的形状指定了分配给实例的CPU数量和内存量。计算形状还决定了计算实例的VNIC数量和最大带宽。

建议

• 使用以下建议作为在OCI上使用Cisco威胁防御防火墙保护Oracle E-Business Suite或PeopleSoft工作负载的起点。

虚拟云网络（VCN）

• 创建VCN时，根据您计划连接到VCN子网的资源数量，确定所需的CIDR块数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。
• 选择不与任何其他网络重叠的CIDR块（在Oracle云基础设施、您的本地数据中心或其他云提供商），您打算通过这些网络设置私有连接。
• 创建VCN后，您可以更改、添加和移除其CIDR块。
• 在设计子网时，考虑您的流量流向和安全要求。将特定层或角色内的所有资源连接到同一个子网，这可以作为一个安全边界。
• 使用区域子网。
• 根据需要附加您的辐射VCN，以便您可以将流量发送到枢纽VCN的Cisco威胁防御防火墙。为每个VCN附件的动态路由网关定义防火墙的来往路由表。

Cisco防火墙管理中心

• 选择管理中心模型时，考虑它管理的威胁防御设备数量。
• 估计威胁防御设备同时生成的日志量，并确保管理中心设计能够处理该量。
• 要确定您的部署适合的模型，请参阅数据表。

Cisco安全威胁防御防火墙

• 威胁防御至少需要四个接口。
• 部署一个主动-主动集群，如有需要，添加更多实例。
• 选择合适的OCI形状。形状是一个模板，决定了分配给实例的CPU数量、内存量和其他资源。FTDv支持以下OCI形状类型：

防火墙连接

• 安全防火墙管理中心和威胁防御使用TCP端口8305相互通信。确保该端口对内部管理通信开放。
• 如果您正在OCI中创建部署，请为管理创建一个专用子网。
• 使用安全列表或NSG来限制源自互联网的端口443（用于GUI访问）和22（用于CLI访问）的入站访问，以便管理安全策略以及查看日志和事件。
• 默认情况下，Firepower设备配置为通过端口443/tcp（HTTPS）和80/tcp（HTTP）连接到互联网。如果您不希望您的设备直接访问互联网，您可以配置代理服务器。
• 防火墙策略
• 有关所需安全策略、端口和协议的最新信息，请参阅“探索更多”部分的防火墙文档。保持最新状态可确保您已在Cisco威胁防御防火墙实例上配置了所需的网络地址转换策略。

考虑因素

• 在使用Cisco威胁防御防火墙在OCI上保护Oracle E-Business Suite或PeopleSoft工作负载时，请考虑以下因素：

性能

• 选择合适的实例大小，由计算形状决定，这决定了最大可用吞吐量、CPU、RAM和接口数量。
• 组织需要了解哪些类型的流量穿越环境，确定适当的风险级别，并根据需要应用适当的安全控制。启用的安全控制的不同组合会影响性能。
• 考虑为FastConnect或VPN服务添加专用接口。
• 考虑使用大型计算形状以获得更高的吞吐量和访问更多网络接口。
• 运行性能测试以验证设计能够维持所需的性能和吞吐量。
• 使用这些指标作为指导：

• 要更好地理解这些性能数字，请参阅“Cisco威胁防御数据表”，该数据表在本参考架构的“探索更多”主题中有引用。

 安全性

• 在OCI中部署Cisco Firepower管理中心，可以集中配置和监控所有物理和虚拟Cisco威胁防御防火墙的安全策略。

 可用性

• 为了获得最大程度的冗余，将您的架构部署到不同的地理区域。
• 与相关的组织网络配置点对点VPN，以实现与本地网络的冗余连接。

 成本

• Cisco威胁防御防火墙和Cisco Firepower管理中心均可通过自带许可证（BYOL）方式使用。从Firepower管理中心配置所有安全服务的许可权利。有关如何管理许可证的更多信息，请参阅Firepower管理中心配置指南中的“许可Firepower系统”。

您可以通过Oracle云市场在Oracle云基础设施上部署威胁防御防火墙。您也可以从GitHub下载代码，并根据您的特定业务需求进行定制。Oracle建议从Oracle云市场部署架构。

• 通过Oracle云市场中的堆栈部署：按照架构图中所示设置所需的网络基础设施。在您的环境中部署应用程序（Oracle E-Business Suite或PeopleSoft）。Oracle云市场为不同配置和许可证要求提供多个列表。例如，以下列表特性是自带许可证（BYOL）。对于您选择的每个列表，点击“获取应用”并按照屏幕上的提示操作：Cisco威胁防御防火墙Cisco Firepower管理中心Cisco市场列表
• 通过GitHub中的Terraform代码部署：访问GitHub存储库。将存储库克隆或下载到您的本地计算机。遵循README文档中的说明。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门