Network Firewall
Die Oracle Cloud Infrastructure (OCI) Network Firewall ist eine Cloud-native, auf maschinellem Lernen basierende Firewall mit erweiterten Funktionen zur Erkennung und Verhinderung von Angriffen, die von der Palo Alto Networks® NGFW-Technologie unterstützt und automatisch skaliert werden.
Anwendungsfälle für OCI Network Firewall
Weitere OCI Network Firewall Szenarios anzeigen
Diese Abbildung zeigt vier häufige Anwendungsfälle für OCI Network Firewall:
- Verwenden eines nativen, verwalteten Netzwerkfirewallservice
- Sicherer Datenverkehr zwischen On-Premise-Umgebungen und OCI
- Sicherer Datenverkehr zwischen OCI und dem Internet
- Sicherer Datenverkehr zwischen virtuellen Cloud-Netzwerken
Verwenden eines nativen, verwalteten Netzwerkfirewallservice
In diesem ersten Anwendungsfall wird eine Netzwerkfirewall zusammen mit anderen Cloud-nativen Services, die virtuelle Maschinen und Objektspeicher umfassen, in einem virtuellen Cloud-Netzwerk angezeigt.
OCI Network Firewall ist ein Cloud-nativer, verwalteter Service, der vollständig in Oracle Cloud Infrastructure integriert ist.
Sicherer Datenverkehr zwischen On-Premise-Umgebungen und OCI
Im zweiten Anwendungsfall ist ein virtuelles Cloud-Netzwerk logisch mit der On-Premise-Umgebung eines Kunden verbunden. Das virtuelle Cloud-Netzwerk verfügt über eine Netzwerkfirewall, bei der der Netzwerktraffic logisch aus der On-Premise-Umgebung eingeht, bevor er die Ressourcen im virtuellen Cloud-Netzwerk erreichen kann, das als virtuelle Maschinen angezeigt wird.
Die Netzwerkfirewall prüft den gesamten Traffic, der von der On-Premise-Umgebung kommt und dort eingeht. Es schützt Ressourcen in OCI vor Aktionen und Traffic in der On-Premise-Umgebung.
Sicherer Datenverkehr zwischen OCI und dem Internet
Im dritten Anwendungsfall ist ein virtuelles Cloud-Netzwerk logisch mit dem Internet verbunden. Das virtuelle Cloud-Netzwerk verfügt über eine Netzwerkfirewall, bei der der Netzwerktraffic logisch aus dem Internet eingeht.
Dieses virtuelle Cloud-Netzwerk ist dann logisch mit einem anderen virtuellen Cloud-Netzwerk verbunden, das Ressourcen enthält, die hier als virtuelle Maschinen angezeigt werden.
Die Netzwerkfirewall prüft den gesamten Traffic, der vom Internet kommt und dort eingeht. Es schützt Ressourcen in OCI vor Aktionen und Traffic aus dem Internet, die auf die Funktionen von Ressourcen in einem virtuellen Cloud-Netzwerk zugreifen.
Sicherer Datenverkehr zwischen virtuellen Cloud-Netzwerken
Im vierten Anwendungsfall gibt es drei virtuelle Cloud-Netzwerke. Das erste und das dritte virtuelle Cloud-Netzwerk sind beide logisch mit dem zweiten virtuellen Cloud-Netzwerk verbunden. Das erste und das dritte virtuelle Cloud-Netzwerk verfügen über Ressourcen, die hier als virtuelle Maschinen angezeigt werden.
Der gesamte Datenverkehr zwischen Ressourcen im ersten und dritten virtuellen Cloud-Netzwerk muss das zweite virtuelle Cloud-Netzwerk durchlaufen, das über eine Netzwerkfirewall verfügt.
Die Netzwerkfirewall prüft den gesamten Datenverkehr zwischen dem ersten und dem dritten virtuellen Cloud-Netzwerk und schützt die Ressourcen in jedem virtuellen Cloud-Netzwerk vor böswilligen Aktivitäten im anderen.
Vorteile der OCI Network Firewall
1. Eine transparente Ergänzung zu Ihrem OCI-Netzwerk
Sie könnenOCI Network Firewall Ihrer Umgebung hinzufügen, ohne vorhandene Netzwerkflüsse zu stören.
2. Anpassbare, granulare Sicherheits-Policys
OCI Network Firewall bietet granulare Sicherheits-Policys, die herkömmliche Protokollfilterung und (ab Mitte 2024) anwendungsspezifische Trafficerkennung umfassen. Dadurch wird die Angriffsflächeüber Protokolle und Ports hinaus reduziert.
3. Erweiterter Bedrohungsschutz und bessere Prävention
Die OCI Network Firewall bietet eine branchenführende Bedrohungs-Engine, die automatisch bekannte Malware, Spyware, Befehls- und Kontrollangriffe und Schwachstellen-Exploits bekämpft. Profitieren Sie von der fortschrittlichen Technologie von Palo Alto Networks, um Eindringversuche zu erkennen und zu verhindern.
Wie funktioniert OCI Network Firewall?
OCI Network Firewall ist eine verwaltete Netzwerkfirewall der nächsten Generation sowie ein Dienst für die Angriffserkennung und Verhinderung von Eindringversuchen für OCI-VCNs, powered by Palo Alto Networks.
OCI Network Firewall ist eine hochverfügbare und skalierbare Instanz, die Sie in einem Subnetz erstellen. Die Firewall wendet die in einer Firewall-Policy angegebene Geschäftslogik an, die an den Netzwerkverkehr angehängt ist. Routing im VCN wird verwendet, um Traffic zur und von der Firewall zu leiten. Die OCI Network Firewall bietet einen Durchsatz von 4 Gbit/s. Sie können jedoch eine Erhöhung um bis zu 25 Gbit/s anfordern. Die ersten 10 TB Daten werden ohne zusätzliche Kosten verarbeitet.
Firewall-Policys identifizieren Traffic basierend auf einer Kombination von Attributen: Netzwerkprotokolltypen, TCP- oder UDP-Protokolle mit Portnummern, vollqualifizierte Domainnamen mit optionalen Platzhaltern, URLs und IP-Adressen (sowohl IPv4 als auch IPv6 werden unterstützt). Eine Policy kann den Traffic akzeptieren oder ablehnen, ihn auf Eindringversuche zu prüfen oder aktiv gegen solche verteidigen.
OCI Network Firewall wird in der Regel bereitgestellt, um den Datenverkehr zwischen OCI und externen Umgebungen wie On-Premises-Systemen, dem Internet und anderen Clouds zu sichern. Die Firewall kann auch internen OCI-Traffic sichern, z. B. zwischen zwei VCNs.
Diese Abbildung zeigt ein logisches Layout mit Ressourcen und Verbindungen. Es ist zu sehen, wie OCI Network Firewall bereitgestellt werden kann, um den Netzwerktraffic zu prüfen und zu schützen.
Es wird eine typische OCI-Region angezeigt, die ein einzelnes virtuelles Cloud-Netzwerk enthält. Im virtuellen Cloud-Netzwerk gibt es drei Subnetze. Das erste Subnetz ist von außerhalb des virtuellen Cloud-Netzwerks zugänglich und enthält die Netzwerkfirewall. Die Netzwerkfirewall hat die IP-Adresse 192.168.0.10.
Dieses Subnetz enthält auch eine Ressource, die hier als virtuelle Maschine angezeigt wird. Die virtuelle Maschine hat die IP-Adresse 192.168.0.97.
Das zweite Subnetz ist privat und enthält einen flexiblen Load Balancer. Es ist bidirektional mit dem Subnetz verbunden, das die Netzwerkfirewall enthält. Der flexible Load Balancer hat die IP-Adresse 192.168.1.15.
Das dritte Subnetz ist privat und enthält Ressourcen, die hier als zwei virtuelle Maschinen angezeigt werden. Die virtuellen Maschinen haben die IP-Adressen 192.168.20.1 und 192.168.20.2. Das Subnetz ist bidirektional mit dem zweiten Subnetz verbunden.
Die Netzwerkfirewall im ersten Subnetz ist mit einem Internet-Gateway und einem dynamischen Routing-Gateway verbunden, die beide im enthaltenden virtuellen Cloud-Netzwerk verfügbar sind.
Das Internet-Gateway ist bidirektional mit dem Internet verbunden.
Das dynamische Routing-Gateway ist bidirektional mit Customer Premises Equipment in einer On-Premise-Umgebung verbunden.
Der Traffic aus dem Internet geht zuerst über das Internet-Gateway und dann an die Netzwerkfirewall. Der Traffic wird von der Netzwerkfirewall geprüft. Wenn der Traffic zulässig ist, kann er an Ressourcen im selben Subnetz oder an den Load Balancer im zweiten Subnetz übergeben werden. Dieser leitet den Traffic dann an Ressourcen im dritten Subnetz weiter.
Alternativ wird der Traffic von der On-Premise-Umgebung zuerst über das dynamische Routing-Gateway und dann an die Netzwerkfirewall geleitet. Der Traffic wird von der Netzwerkfirewall geprüft. Wenn der Traffic zulässig ist, kann er an Ressourcen im selben Subnetz oder an den Load Balancer im zweiten Subnetz übergeben werden. Dieser leitet den Traffic dann an Ressourcen im dritten Subnetz weiter.
Produkttour
Ihre ML-gestützte Netzwerkabwehr einrichten
Netzwerkfirewall erstellen
Eine Netzwerkfirewall-Instanz verbindet eine Policy, ein VCN und ein Subnetz innerhalb des VCN. Sie können zusätzliche Optionen angeben, den Geltungsbereich einschränken und Tags anhängen.
Sicherheitsregel erstellen
Sicherheits-Policys bestehen aus Sicherheitsregeln. Sicherheitsregeln verbinden eine Kombination aus Quelladressen, Zieladressen, Anwendungen, Services und URLs mit einer Aktion.
Anwendungsliste erstellen
Anwendungen sind eine Auswahl von Protokolltypen, mit denen Sie Traffic für Sicherheits-Policys identifizieren können. Sie können aus einer Liste gängiger Typen auswählen oder eine Protokollnummer eingeben.
Sie können auch mehrere Anwendungen zu einer praktischen Anwendungsliste kombinieren (nicht dargestellt).
Serviceliste erstellen
Services sind eine Auswahl von TCP- oder UDP-Protokollen, mit denen Sie Traffic für Sicherheits-Policys identifizieren können. Sie können einen oder mehrere Bereiche eingeben.
Sie können auch mehrere Services zu einer praktischen Serviceliste kombinieren (nicht dargestellt).
URL-Liste erstellen
URLs sind Listen mit Ressourcennamen, häufig Webadressen, mit denen Sie Traffic für Sicherheits-Policys identifizieren können. Sie können bis zu 1.000 URLs in einer einzigen Liste eingeben.
Adressliste erstellen
Erstellen Sie eine Liste mit IP-Adressen (IPv4 und IPv6) oder einen CIDR-Blockbereich, mit dem Sie Traffic für Sicherheits-Policys identifizieren können. Sie können bis zu 1.000 Adressen (oder Bereiche) in einer einzigen Liste eingeben.
Weitere Funktionen von OCI Network Firewall
Referenzarchitekturen
Ein gut geplantes Netzwerkdesign kann die Voraussetzungen für eine erfolgreiche Implementierung schaffen und das Netzwerk für Ihr Team und Ihre Organisation einfacher zu nutzen machen. Durch die Planung Ihres Netzwerkdesigns vor der Bereitstellung können Sie sicherstellen, dass Ihr Design alle Ihre Anforderungen erfüllt und potenzielle Hindernisse für ein erfolgreiches Deployment später vermieden werden.
Lösungs-Playbooks und Expertentipps
OCI Network Firewall – Konzepte und Deployment
Dieser Blog behandelt die allgemeinen Funktionen der OCI Network Firewall und deren Deployment.
Websites und Anwendungen mit OCI Network Firewall schützen
Dieses praktische Tutorial zeigt, wie Sie Traffic schützen, der auf mehrere Websites und Anwendungen geleitet wird, die in mehreren Backends mit OCI Network Firewall und OCI Load Balancers bereitgestellt werden.
Entschlüsselung des OCI Network Firewall-Traffics mit eingehender SSL-Prüfung
In diesem Blog wird die eingehende SSL-Entschlüsselung in der OCI Network Firewall mit einem öffentlichen RSA-Zertifikat behandelt.
Ressourcen
Downloads
- Bereitstellen von Hyper-V auf Oracle Cloud Infrastructure (PDF)
- VPN-IPsec-Tunnel mit Cisco ASA/ASAv VTI auf Oracle Cloud Infrastructure (PDF)
- Leitfaden zur Konnektivitätsredundanz (PDF)
- Best Practices für IPsec-VPN (PDF)
- Überblick über das Oracle Cloud Infrastructure Virtual Cloud Network und Bereitstellungshandbuch (PDF)
Erste Schritte mit Network Firewall
Oracle Cloud Free Tier
Erstellen, testen und implementieren Sie Anwendungen in Oracle Cloud – und das kostenlos. Melden Sie sich einmal an und erhalten Sie Zugang zu zwei kostenlosen Angeboten.
Vertrieb kontaktieren
Möchten Sie mehr über die Oracle Cloud Infrastructure erfahren? Einer unserer Experten wird Ihnen gerne helfen.
* Für Network Firewall ist ein kostenpflichtiger OCI-Account erforderlich, entweder als nutzungsbasierter Pay-as-you-go- oder Universal-Credits-Vertrag.