Firewall de rede
O Oracle Cloud Infrastructure (OCI) Network Firewall é um firewall nativo da nuvem, com tecnologia de machine learning, recursos avançados de detecção e prevenção de intrusão e suporte de NGFW da Palo Alto Networks® de dimensionamento automático.
Casos de uso do OCI Network Firewall
Veja mais cenários do OCI Network Firewall
Esta imagem mostra quatro casos de uso comuns do OCI Network Firewall:
- Use um serviço de firewall de rede nativo e gerenciado
- Tráfego seguro entre ambientes on-premises e na OCI
- Tráfego seguro entre a OCI e a Internet
- Tráfego seguro entre redes virtuais de nuvem
Use um serviço de firewall de rede nativo e gerenciado
Neste primeiro caso de uso, um firewall de rede é mostrado em uma rede de nuvem virtual junto com outros serviços nativos da nuvem que incluem máquinas virtuais e armazenamento de objetos.
O OCI Network Firewall é um serviço gerenciado nativo da nuvem totalmente integrado à Oracle Cloud Infrastructure.
Tráfego seguro entre ambientes on-premises e a OCI
No segundo caso de uso, uma rede de nuvem virtual é logicamente conectada ao ambiente on-premises de um cliente. A rede de nuvem virtual tem um firewall de rede em que o tráfego entra logicamente do ambiente on-premises antes de poder alcançar os recursos na rede de nuvem virtual, mostrados como máquinas virtuais.
O firewall de rede inspeciona todo o tráfego que entra e sai do ambiente on-premises. Ele protege recursos na OCI de ações e tráfego no ambiente on-premises.
Tráfego seguro entre a OCI e a Internet
No terceiro caso de uso, uma rede de nuvem virtual é logicamente conectada à Internet. A rede de nuvem virtual tem um firewall em que o tráfego de rede entra logicamente a partir da Internet.
Essa rede de nuvem virtual é então conectada logicamente a outra rede de nuvem virtual, que possui recursos, mostrados aqui como máquinas virtuais.
O firewall de rede inspeciona todo o tráfego que entra e sai da Internet. Ele protege recursos na OCI de ações e tráfego da Internet que acessam os recursos em uma rede de nuvem virtual.
Tráfego seguro entre redes de nuvem virtuais
No quarto caso de uso, há três redes de nuvem virtuais. A primeira e a terceira redes de nuvem virtuais estão logicamente conectadas à segunda. A primeira e a terceira redes de nuvem virtuais têm recursos, mostrados aqui como máquinas virtuais.
Todo o tráfego entre recursos na primeira e na terceira rede de nuvem virtual deve passar pela segunda rede, que tem um firewall.
O firewall de rede inspeciona todo o tráfego entre a primeira e a terceira redes de nuvem virtuais, protegendo os recursos em cada uma contra atividades maliciosas na outra.
Benefícios do OCI Network Firewall
1. Uma adição transparente à sua rede da OCI
Você pode adicionar o OCI Network Firewall ao seu ambiente sem perturbar os fluxos de rede existentes.
2. Políticas de segurança granulares e personalizáveis
O OCI Network Firewall oferece políticas de segurança granulares que incluem filtragem de protocolo tradicional e (a partir de meados de 2024) reconhecimento de tráfego específico da aplicação, reduzindo a superfície de ataque além de apenas protocolos e portas.
3. Proteção e prevenção avançadas contra ameaças
O OCI Network Firewall oferece o melhor mecanismo contra ameaças da categoria, projetado para agir automaticamente contra malware conhecido, spyware, ataques de comando e controle e explorações de vulnerabilidades. Aproveite a tecnologia avançada da Palo Alto Networks para detectar e prevenir intrusões.
Como o OCI Network Firewall funciona?
O OCI Network Firewall é um firewall de rede gerenciado de última geração e um serviço de detecção e prevenção de intrusão para VCNs da OCI, desenvolvido pela Palo Alto Networks.
O OCI Network Firewall é uma instância altamente disponível e escalável que você cria em uma sub-rede. O firewall aplica a lógica de negócios especificada em uma política de firewall anexada ao tráfego de rede. O roteamento na VCN é usado para direcionar o tráfego de e para o firewall. O OCI Network Firewall fornece uma taxa de transferência de 4 Gb/seg, mas você pode solicitar um aumento de até 25 Gb/seg. Os primeiros 10 TB de dados são processados sem custo adicional.
As políticas de firewall identificam o tráfego com base em uma combinação de atributos: tipos de protocolo de rede, protocolos TCP ou UDP com números de porta, nomes de domínio totalmente qualificados com curingas opcionais, URLs e endereços IP (tanto IPv4 quanto IPv6 são suportados). Uma política pode aceitar ou rejeitar tráfego, inspecioná-lo em busca de intrusão ou defender-se ativamente contra uma violação.
O OCI Network Firewall normalmente é implementado para proteger o tráfego entre a OCI e os ambientes externos, como sistemas on-premises, a Internet e outras nuvens. O firewall também pode proteger o tráfego interno na OCI, por exemplo, entre duas VCNs.
Esta imagem apresenta um layout lógico de recursos e conexões para mostrar como o OCI Network Firewall pode ser implementado para inspecionar e proteger o tráfego de rede.
É mostrada uma região típica da OCI, que contém uma única rede de nuvem virtual. Há três sub-redes dentro da rede de nuvem virtual. A primeira sub-rede é acessível de fora da rede de nuvem virtual e contém o firewall. O firewall de rede tem um endereço IP de 192.168.0.10.
Essa sub-rede também tem um recurso, mostrado aqui como uma máquina virtual. A máquina virtual tem um endereço IP 192.168.0.97.
A segunda sub-rede é privada e contém um balanceador de carga flexível. Ela é conectada bidirecionalmente com a sub-rede que contém o firewall. O balanceador de carga flexível tem um endereço IP 192.168.1.15.
A terceira sub-rede é privada e contém recursos, mostrados aqui como duas máquinas virtuais. As máquinas virtuais têm os endereços IP 192.168.20.1 e 192.168.20.2. A sub-rede é conectada bidirecionalmente à segunda sub-rede.
O firewall de rede na primeira sub-rede está conectado a um gateway de Internet e a um gateway de roteamento dinâmico, ambos disponíveis na rede de nuvem virtual que o contém.
O gateway de internet é conectado bidirecionalmente à Internet.
O gateway de roteamento dinâmico é conectado bidirecionalmente ao equipamento das instalações do cliente em um ambiente on-premises.
O tráfego da Internet passa primeiro pelo gateway de Internet e depois para o firewall de rede. O tráfego é inspecionado pelo firewall de rede. Se o tráfego for permitido, ele poderá passar para recursos na mesma sub-rede ou para o balanceador de carga na segunda sub-rede, que então encaminhará o tráfego para recursos na terceira sub-rede.
Como alternativa, o tráfego do ambiente on-premises passa primeiro pelo gateway de roteamento dinâmico e depois para o firewall de rede. O tráfego é inspecionado pelo firewall de rede. Se o tráfego for permitido, ele poderá passar para recursos na mesma sub-rede ou para o balanceador de carga na segunda sub-rede, que então encaminhará o tráfego para recursos na terceira sub-rede.
Tour do produto
Configure sua defesa de rede com tecnologia de ML
Crie um firewall de rede
Uma instância de firewall de rede conecta uma política, uma VCN e uma sub-rede dentro da VCN. Você pode especificar opções adicionais, limitar o escopo e anexar tags.
Crie uma regra de segurança
Políticas de segurança são compostas de regras. As regras de segurança conectam uma combinação de endereços de origem, de destino, aplicações, serviços e URLs com uma ação.
Crie uma lista de aplicação
As aplicações são uma seleção de tipos de protocolo que você pode usar para identificar tráfego para políticas de segurança. Você pode selecionar em uma lista de tipos comuns ou inserir um número de protocolo.
Também pode combinar várias aplicações em uma lista conveniente (não mostrada).
Crie uma lista de serviço
Serviços são uma seleção de protocolos TCP ou UDP que você pode usar para identificar tráfego para políticas de segurança. Você pode inserir um ou vários intervalos.
Também pode combinar vários serviços em uma lista conveniente (não mostrada).
Crie uma lista de URL
URLs são listas de nomes de recursos, geralmente endereços da web, que você pode usar para identificar tráfego para políticas de segurança. Você pode inserir até 1.000 URLs em uma única lista.
Crie uma lista de endereços
Crie uma lista de endereços IP, - IPv4 e IPv6 - ou um intervalo de blocos CIDR que você pode usar para identificar tráfego para políticas de segurança. Você pode inserir até 1.000 endereços (ou intervalos) em uma única lista.
Outros recursos do OCI Network Firewall
Arquiteturas de referência
Um projeto de rede bem planejado pode preparar o cenário para uma implementação bem-sucedida e tornar a rede mais fácil de usar para sua equipe e organização. Ao planejar o design da sua rede antes da implementação, você pode garantir que seu design atenda a todos os seus requisitos e evitar possíveis barreiras para uma implementação bem-sucedida posteriormente.
Manuais de soluções e dicas de especialistas
OCI Network Firewall – Conceitos e implementação
Este blog aborda as funções gerais do OCI Network Firewall e como implementá-lo.
Proteja sites e aplicações com o OCI Network Firewall
Este tutorial prático mostra como proteger o tráfego direcionado a vários sites e aplicações implantadas em vários backends usando o OCI Network Firewall e os OCI Load Balancers.
Descriptografia de tráfego do OCI Network Firewall com inspeção de entrada SSL
Este blog aborda a descriptografia SSL de entrada no OCI Network Firewall usando um certificado público RSA.
Recursos
Centro de Arquitetura da Oracle Cloud Infrastructure
Como podemos ajudar você?
- Login no My Oracle Support
- Perguntas Frequentes sobre o Virtual Cloud Network
- Perguntas frequentes sobre Resiliência
- Acordo de nível de serviço
- Painel de integridade do serviço
- Fóruns para clientes
- Treinamento da Oracle Cloud Infrastructure
- Estrutura de boas práticas para a Oracle Cloud Infrastructure
- Certificações da Oracle Cloud Infrastructure
Conheça o Network Firewall
Modo Gratuito da Oracle Cloud
Crie, teste e implemente aplicações na Oracle Cloud gratuitamente. Inscreva-se uma vez e tenha acesso a duas ofertas gratuitas.
Fale com um especialista
Interessado em saber mais sobre a Oracle Cloud Infrastructure? Deixe um de nossos especialistas ajudar.
* O Network Firewall requer uma conta paga da OCI, seja como um contrato de pagamento conforme o uso ou de Créditos Universais.