Oracle Cloud Infrastructure (OCI) Network Firewall 是一项云原生、机器学习驱动的防火墙服务,它提供高级入侵检测和防御功能,由可自动化扩展的 Palo Alto Networks ® NGFW 技术提供支持。
查看更多 OCI Network Firewall 使用场景
此图展示了 OCI Network Firewall 的 4 个常见使用场景:
使用原生托管式网络防火墙服务
在第 1 个使用场景中,一个虚拟云网络内部部署了一个网络防火墙,还部署了其他云原生服务 — 包括虚拟机和对象存储。
OCI Network Firewall 是一项完全集成到 Oracle Cloud Infrastructure 的云原生托管式服务。
保护本地环境与 OCI 之间的流量
在第 2 个使用场景中,一个虚拟云网络逻辑连接到一个客户的本地环境。虚拟云网络内部部署了一个网络防火墙,来自客户本地环境的流量将首先逻辑传输至网络防火墙,然后再传输至虚拟云网络内部资源,例如图中的虚拟机。
网络防火墙将检查虚拟云网络与本地环境之间的所有流量,保护 OCI 资源不受来自本地环境的恶意操作与恶意流量的影响。
保护 OCI 与互联网之间的流量
在第 3 个使用场景中,一个虚拟云网络逻辑连接到互联网。虚拟云网络内部部署了一个网络防火墙,接收从互联网逻辑传入的流量。
该虚拟云网络还逻辑连接到另一个部署了如图中所示虚拟机资源的虚拟云网络。
网络防火墙将检查第一个虚拟云网络与互联网之间的所有流量。它在用户通过互联网访问虚拟云网络资源时保护 OCI 资源不受恶意操作与恶意流量的影响。
保护虚拟云网络之间的流量
在第 4 个使用场景中,共涉及 3 个虚拟云网络。其中,第 1 和第 3 个虚拟云网络均逻辑连接到第 2 个虚拟云网络,部署如图中所示的虚拟机资源。
第 1 和第 3 个虚拟云网络资源之间的所有流量,都必须经过内部部署了一个网络防火墙的第 2 个虚拟云网络。
网络防火墙将检查第 1 和第 3 个虚拟云网络之间的所有流量,保护这两个虚拟云网络的内部资源不受来自另一虚拟云网络的恶意活动的影响。
OCI Network Firewall 可在不干扰现有网络流的情况下部署到您的环境。
OCI Network Firewall 提供细粒度安全策略,包括传统的协议过滤和(2024 年年中起可用的)应用特定流量识别,可将攻击面缩小到协议和端口以外。
OCI Network Firewall 提供同类优秀的威胁引擎,可自动采取措施来防御已知的恶意软件、间谍软件、命令与控制攻击以及漏洞利用行为。它能够利用 Palo Alto Networks 的先进技术来检测和防御安全入侵。
OCI Network Firewall 是一款面向 OCI VCN,由 Palo Alto Networks 提供技术支持的新一代托管式网络防火墙和入侵检测与防御服务。
OCI Network Firewall 支持在 VCN 子网中创建高度可用、可扩展的实例,能够对网络流量应用(防火墙策略中定义的)业务逻辑。VCN 则将通过路由技术将流量传入和传出防火墙。在性能上,OCI Network Firewall 支持 4 Gb/秒的吞吐量,但可按客户要求提高到 25 Gb/秒。在价格上,OCI Network Firewall 对每月处理的前 10 TB 数据不收取费用。
OCI Network Firewall 防火墙策略基于一系列属性来识别流量,包括网络协议类型、TCP 或 TDP 协议(带端口号)、完全限定域名(带可选通配符)、URL 以及 IP 地址(全面支持 IPv4 和 IPv6)。在识别流量后,它将按配置要求接受流量、拒绝流量、检查流量或主动防御入侵。
OCI Network Firewall 通常应用于保护 OCI 与外部环境(例如本地部署系统、互联网和其他云环境)之间的流量。此外,它还能保护 OCI 内部流量,例如 VCN 间的流量。
此图中的资源逻辑布局和连接展示了 OCI Network Firewall 将如何检查和保护网络流量。
图中,一个标准 OCI 区域内部部署了一个虚拟云网络,该虚拟云网络内部进一步部署了 3 个子网。其中,第 1 个子网可从虚拟云网络外部访问,它内部部署了一个网络防火墙,网络防火墙 IP 地址为 192.168.0.10。
第 1 个子网内部还部署了如图中所示的虚拟机资源,虚拟机 IP 地址为 192.168.0.97。
第 2 个子网为专用子网,它内部部署了一个灵活负载均衡器。该灵活负载均衡器双向连接至部署了网络防火墙的第 1 个子网,其 IP 地址为 192.168.1.15。
第 3 个子网同样为专用子网,它内部部署了如图中所示的两个虚拟机。两个虚拟机的 IP 地址分别为 192.168.20.1 和 192.168.20.2。该子网双向连接至第 2 个子网。
在第 1 个子网中,网络防火墙连接至一个互联网网关和一个动态路由网关,这两个网关均在子网所属的虚拟云网络下可用。
其中,互联网网关双向连接至互联网。
动态路由网关则双向连接至客户本地环境下的本地设备。
来自互联网的流量将首先传输至互联网网关,然后传输至网络防火墙。网络防火墙将执行流量检查。通过检查后,流量可能会传输至同一子网中的资源,也可能传输至第 2 个子网中的负载均衡器,由其转发至第 3 个子网中的资源。
同样,来自本地环境的流量将首先传输至动态路由网关,然后传输至网络防火墙。网络防火墙将执行流量检查。通过检查后,流量可能会传输至同一子网中的资源,也可能传输至第 2 个子网中的负载均衡器,由其转发至第 3 个子网中的资源。
一个精心规划的网络设计可以为成功的实施奠定坚实基础,使您的团队和组织更轻松地使用网络。通过在部署前规划网络,您可以确保网络满足您的所有要求,避免可能影响后续部署的所有潜在问题。
阅读博客,了解 OCI Network Firewall 的基本功能和部署方法。
本上机教程将展示如何使用 OCI Network Firewall 和 OCI Load Balancer 来保护传输至多个后端中部署的多个 Web 网站和应用的流量。
阅读博客,了解 OCI Network Firewall 基于 RSA 公共证书的 SSL 入站流量解密功能。
免费在 OCI 上构建、测试和部署应用。您只需一次注册,就能获得两项免费服务。
想详细了解 Oracle Cloud Infrastructure?让我们的专家为您提供帮助。
* Network Firewall requires a paid OCI account, either as a pay-as-you-go or Universal Credits contract.
注:为免疑义,本网页所用以下术语专指以下含义: