Pare-feu de réseau
Oracle Cloud Infrastructure (OCI) Network Firewall est un pare-feu cloud natif reposant sur le machine learning et offrant des fonctionnalités avancées de détection et de prévention des intrusions, prises en charge par la technologie Palo Alto Networks® NGFW qui évolue automatiquement.
Cas d'utilisation d'OCI Network Firewall
Afficher plus de scénarios OCI Network Firewall
Cette image présente quatre cas d'utilisation courants d'OCI Network Firewall :
- Utiliser un service de pare-feu réseau géré natif
- Sécuriser le trafic entre les environnements sur site et OCI
- Sécuriser le trafic entre OCI et Internet
- Sécuriser le trafic entre les réseaux cloud virtuels
Utilisation d'un service de pare-feu réseau géré natif
Dans ce premier cas d'utilisation, un pare-feu réseau est visible dans un réseau cloud virtuel, ainsi que dans d'autres services natifs du cloud, y compris les machines virtuelles et le stockage d'objets.
OCI Network Firewall est un service géré et cloud natif entièrement intégré à Oracle Cloud Infrastructure.
Trafic sécurisé entre les environnements sur site et OCI
Dans le deuxième cas d'utilisation, un réseau cloud virtuel est logiquement connecté à l'environnement sur site d'un client. Le réseau cloud virtuel dispose d'un pare-feu réseau dans lequel le trafic réseau entre logiquement à partir de l'environnement sur site avant d'atteindre les ressources du réseau cloud virtuel, présentées sous forme de machines virtuelles.
Le pare-feu réseau inspecte tout le trafic entrant depuis et sortant vers l'environnement sur site. Il protège les ressources dans OCI contre les actions et le trafic dans l'environnement sur site.
Trafic sécurisé entre OCI et Internet
Dans le troisième cas d'utilisation, un réseau cloud virtuel est logiquement connecté à Internet. Le réseau cloud virtuel dispose d'un pare-feu réseau dans lequel le trafic réseau entre logiquement à partir d'Internet.
Ce réseau cloud virtuel est ensuite connecté logiquement à un autre réseau cloud virtuel, lequel dispose de ressources, affichées ici sous forme de machines virtuelles.
Le pare-feu réseau inspecte tout le trafic provenant de et sortant vers Internet. Il protège les ressources d'OCI contre les actions et le trafic provenant d'Internet qui accèdent aux fonctionnalités des ressources d'un réseau cloud virtuel.
Trafic sécurisé entre les réseaux cloud virtuels
Dans le quatrième cas d'utilisation, il existe trois réseaux cloud virtuels. Les premier et troisième réseaux cloud virtuels sont tous deux connectés logiquement au deuxième réseau cloud virtuel. Les premier et troisième réseaux cloud virtuels disposent de ressources, présentées ici sous forme de machines virtuelles.
Tout le trafic entre les ressources du premier et du troisième réseau cloud virtuel doit passer par le deuxième réseau cloud virtuel, qui est doté d'un pare-feu réseau.
Le pare-feu du réseau inspecte tout le trafic entre le premier et le troisième réseaux cloud virtuels, protégeant ainsi les ressources de chaque réseau cloud virtuel contre les activités malveillantes de l'autre.
Avantages d'OCI Network Firewall
1. Un ajout transparent à votre réseau OCI
Vous pouvez ajouter OCI Network Firewall à votre environnement sans perturber les flux réseau existants.
2. Stratégies de sécurité personnalisables et précises
OCI Network Firewall propose des stratégies de sécurité granulaires qui incluent le filtrage de protocole traditionnel et (à partir de la mi-2024) la reconnaissance du trafic propre aux applications, afin de réduire la surface d'attaque au-delà des protocoles et des ports.
3. Protection et prévention avancées des menaces
OCI Network Firewall offre un moteur de pointe de protection contre les menaces conçu pour agir automatiquement contre les logiciels malveillants, les logiciels espions, les attaques de type command-and-control et les exploits de vulnérabilité connus. Bénéficiez de la technologie évoluée de Palo Alto Networks pour détecter et prévenir les intrusions.
Comment fonctionne OCI Network Firewall ?
OCI Network Firewall est un pare-feu réseau géré de nouvelle génération et un service de détection et de prévention des intrusions pour les réseaux cloud virtuels OCI, optimisé par Palo Alto Networks.
OCI Network Firewall est une instance hautement disponible et évolutive que vous créez dans un sous-réseau. Le pare-feu applique la logique métier indiquée dans une stratégie de pare-feu associée au trafic réseau. Le routage dans le VCN est utilisé pour diriger le trafic vers et depuis le pare-feu. OCI Network Firewall fournit un débit de 4 Go/s, mais vous pouvez demander à l'augmenter jusqu'à 25 Go/s. Les 10 premiers To de données sont traités sans frais supplémentaires.
Les stratégies de pare-feu identifient le trafic en fonction d'une combinaison d'attributs : types de protocole réseau, protocoles TCP ou UDP avec numéros de port, noms de domaine complets avec caractères génériques facultatifs, URL et adresses IP (IPv4 et IPv6 sont pris en charge). Une stratégie peut accepter le trafic, le rejeter, l'inspecter en cas d'intrusion ou se défendre activement contre l'intrusion.
OCI Network Firewall est généralement déployé pour sécuriser le trafic entre OCI et les environnements externes, tels que les systèmes sur site, Internet et d'autres clouds. Le pare-feu peut également sécuriser le trafic OCI interne, par exemple entre deux réseaux cloud virtuels.
Cette image présente une disposition logique des ressources et des connexions pour montrer comment déployer OCI Network Firewall afin d'inspecter et de protéger le trafic réseau.
Une région OCI standard est présentée. Elle contient un seul réseau cloud virtuel. Le réseau cloud virtuel comporte trois sous-réseaux. Le premier sous-réseau est accessible depuis l'extérieur du réseau cloud virtuel et contient le pare-feu réseau. Le pare-feu réseau possède l'adresse IP 192.168.0.10.
Ce sous-réseau dispose également d'une ressource, présentée ici en tant que machine virtuelle. L'adresse IP de la machine virtuelle est 192.168.0.97.
Le deuxième sous-réseau est privé et contient un équilibreur de charge flexible. Il est connecté de manière bidirectionnelle au sous-réseau contenant le pare-feu réseau. L'adresse IP de l'équilibreur de charge flexible est 192.168.1.15.
Le troisième sous-réseau est privé et contient des ressources, présentées ici sous la forme de deux machines virtuelles. Les adresses IP des machines virtuelles sont 192.168.20.1 et 192.168.20.2. Le sous-réseau est connecté de manière bidirectionnelle au deuxième sous-réseau.
Le pare-feu réseau du premier sous-réseau est connecté à une passerelle Internet et à une passerelle de routage dynamique, qui sont toutes deux disponibles dans le réseau cloud virtuel conteneur.
La passerelle Internet est connectée de manière bidirectionnelle à Internet.
La passerelle de routage dynamique est connectée de manière bidirectionnelle à l'équipement sur site du client dans un environnement sur site.
Le trafic provenant d'Internet passe d'abord par la passerelle Internet, puis par le pare-feu réseau. Le trafic est inspecté par le pare-feu réseau. Si le trafic est autorisé, il peut être transmis aux ressources du même sous-réseau ou à l'équilibreur de charge du deuxième sous-réseau, qui transmettra ensuite le trafic aux ressources du troisième sous-réseau.
Sinon, le trafic de l'environnement sur site passe d'abord par la passerelle de routage dynamique, puis par le pare-feu réseau. Le trafic est inspecté par le pare-feu réseau. Si le trafic est autorisé, il peut être transmis aux ressources du même sous-réseau ou à l'équilibreur de charge du deuxième sous-réseau, qui transmettra ensuite le trafic aux ressources du troisième sous-réseau.
Visite guidée de produit
Configurez votre défense réseau reposant sur l'apprentissage automatique
Créez un pare-feu réseau
Une instance de pare-feu réseau connecte une stratégie, un VCN et un sous-réseau au sein du VCN. Vous pouvez indiquer des options supplémentaires, limiter la portée et associer des balises.
Créez une règle de sécurité
Les stratégies de sécurité sont constituées de règles de sécurité. Les règles de sécurité connectent une combinaison d'adresses source, d'adresses de destination, d'applications, de services et d'URL avec une action.
Créez une liste d'applications
Les applications sont une sélection de types de protocole que vous pouvez utiliser pour identifier le trafic pour les règles de sécurité. Vous pouvez effectuer une sélection dans une liste de types courants ou saisir un numéro de protocole.
Vous pouvez également combiner plusieurs applications en une liste d'applications pratique (non affichée).
Créez une liste de services
Les services sont une sélection de protocoles TCP ou UDP que vous pouvez utiliser pour identifier le trafic pour les stratégies de sécurité. Vous pouvez saisir une ou plusieurs plages.
Vous pouvez également combiner plusieurs services en une liste de services pratique (non affichée).
Créez une liste d'URL
Les URL sont des listes de noms de ressource, souvent des adresses Web, que vous pouvez utiliser pour identifier le trafic pour les règles de sécurité. Vous pouvez entrer jusqu'à 1 000 URL dans une seule liste.
Créez une liste d'adresses
Créez la liste des adresses IP, à la fois IPv4 et IPv6, ou une plage de blocs CIDR que vous pouvez utiliser pour identifier le trafic pour les stratégies de sécurité. Vous pouvez entrer jusqu'à 1 000 adresses (ou plages) dans une seule liste.
Architectures de référence
Une conception de réseau bien planifiée peut préparer le terrain pour une implémentation réussie et rendre le réseau plus facile à utiliser pour votre équipe et votre organisation. En planifiant la conception de votre réseau avant le déploiement, vous pouvez vous assurer qu'elle répond à toutes vos exigences et éviter les obstacles potentiels à un déploiement réussi par la suite.
Guides de solutions et conseils d'experts
Pare-feu réseau OCI : concepts et déploiement
Ce blog présente les fonctions générales d'OCI Network Firewall et explique comment le déployer.
Protection des sites Web et des applications avec OCI Network Firewall
Ce tutoriel pratique explique comment protéger le trafic dirigé vers plusieurs sites Web et applications déployés dans plusieurs back-ends à l'aide d'OCI Network Firewall et d'OCI Load Balancer.
Décryptage du trafic OCI Network Firewall avec inspection entrante SSL
Ce blog traite du déchiffrement SSL entrant dans OCI Network Firewall à l'aide d'un certificat RSA public.
Ressources
Oracle Cloud Infrastructure - Centre d’architecture
Téléchargements
- Déploiement d'Hyper-V sur Oracle Cloud Infrastructure (PDF)
- Tunnels IPsec VPN avec Cisco ASA/ASAv VTI sur Oracle Cloud Infrastructure (PDF)
- Guide de redondance de connectivité (PDF)
- Meilleures pratiques VPN IPSec (PDF)
- Guide de présentation et de déploiement de Oracle Cloud Infrastructure Virtual Cloud Network (PDF)
Lancez-vous avec Network Firewall
Oracle Cloud Free Tier
Créez, testez et déployez vos applications sur Oracle Cloud, gratuitement. Inscrivez-vous une seule fois et accédez à deux offres gratuites.
Contactez l’équipe commerciale
Vous souhaitez en savoir plus sur Oracle Cloud Infrastructure ? Laissez l’un de nos experts vous aider.
* Network Firewall requiert un compte OCI payant reposant sur un modèle de paiement à l'utilisation ou sur un contrat d'avoir universel.