Network Firewall

Oracle Cloud Infrastructure (OCI) Network Firewall 是一项云原生、机器学习驱动的防火墙服务,它提供高级入侵检测和防御功能,由可自动化扩展的 Palo Alto Networks ® NGFW 技术提供支持。

OCI Network Firewall 使用场景

查看更多 OCI Network Firewall 使用场景

OCI Network Firewall 使用场景示意图,说明如下

此图展示了 OCI Network Firewall 的 4 个常见使用场景:

  1. 使用原生托管式网络防火墙服务
  2. 保护本地环境与 OCI 之间的流量
  3. 保护 OCI 与互联网之间的流量
  4. 保护虚拟云网络之间的流量

使用原生托管式网络防火墙服务
在第 1 个使用场景中,一个虚拟云网络内部部署了一个网络防火墙,还部署了其他云原生服务 — 包括虚拟机和对象存储。

OCI Network Firewall 是一项完全集成到 Oracle Cloud Infrastructure 的云原生托管式服务。

保护本地环境与 OCI 之间的流量
在第 2 个使用场景中,一个虚拟云网络逻辑连接到一个客户的本地环境。虚拟云网络内部部署了一个网络防火墙,来自客户本地环境的流量将首先逻辑传输至网络防火墙,然后再传输至虚拟云网络内部资源,例如图中的虚拟机。

网络防火墙将检查虚拟云网络与本地环境之间的所有流量,保护 OCI 资源不受来自本地环境的恶意操作与恶意流量的影响。

保护 OCI 与互联网之间的流量
在第 3 个使用场景中,一个虚拟云网络逻辑连接到互联网。虚拟云网络内部部署了一个网络防火墙,接收从互联网逻辑传入的流量。

该虚拟云网络还逻辑连接到另一个部署了如图中所示虚拟机资源的虚拟云网络。

网络防火墙将检查第一个虚拟云网络与互联网之间的所有流量。它在用户通过互联网访问虚拟云网络资源时保护 OCI 资源不受恶意操作与恶意流量的影响。

保护虚拟云网络之间的流量
在第 4 个使用场景中,共涉及 3 个虚拟云网络。其中,第 1 和第 3 个虚拟云网络均逻辑连接到第 2 个虚拟云网络,部署如图中所示的虚拟机资源。

第 1 和第 3 个虚拟云网络资源之间的所有流量,都必须经过内部部署了一个网络防火墙的第 2 个虚拟云网络。

网络防火墙将检查第 1 和第 3 个虚拟云网络之间的所有流量,保护这两个虚拟云网络的内部资源不受来自另一虚拟云网络的恶意活动的影响。

OCI Network Firewall 的优势


1. 对 OCI 网络透明

OCI Network Firewall 可在不干扰现有网络流的情况下部署到您的环境。

2. 可自定义的细粒度安全策略

OCI Network Firewall 提供细粒度安全策略,包括传统的协议过滤和(2024 年年中起可用的)应用特定流量识别,可将攻击面缩小到协议和端口以外。

3. 高级威胁保护和防御

OCI Network Firewall 提供同类优秀的威胁引擎,可自动采取措施来防御已知的恶意软件、间谍软件、命令与控制攻击以及漏洞利用行为。它能够利用 Palo Alto Networks 的先进技术来检测和防御安全入侵。

OCI Network Firewall 的工作原理

OCI Network Firewall 是一款面向 OCI VCN,由 Palo Alto Networks 提供技术支持的新一代托管式网络防火墙和入侵检测与防御服务。

OCI Network Firewall 支持在 VCN 子网中创建高度可用、可扩展的实例,能够对网络流量应用(防火墙策略中定义的)业务逻辑。VCN 则将通过路由技术将流量传入和传出防火墙。在性能上,OCI Network Firewall 支持 4 Gb/秒的吞吐量,但可按客户要求提高到 25 Gb/秒。在价格上,OCI Network Firewall 对每月处理的前 10 TB 数据不收取费用。

OCI Network Firewall 防火墙策略基于一系列属性来识别流量,包括网络协议类型、TCP 或 TDP 协议(带端口号)、完全限定域名(带可选通配符)、URL 以及 IP 地址(全面支持 IPv4 和 IPv6)。在识别流量后,它将按配置要求接受流量、拒绝流量、检查流量或主动防御入侵。

OCI Network Firewall 通常应用于保护 OCI 与外部环境(例如本地部署系统、互联网和其他云环境)之间的流量。此外,它还能保护 OCI 内部流量,例如 VCN 间的流量。

阅读文档

OCI Network Firewall 示意图,说明如下

此图中的资源逻辑布局和连接展示了 OCI Network Firewall 将如何检查和保护网络流量。

图中,一个标准 OCI 区域内部部署了一个虚拟云网络,该虚拟云网络内部进一步部署了 3 个子网。其中,第 1 个子网可从虚拟云网络外部访问,它内部部署了一个网络防火墙,网络防火墙 IP 地址为 192.168.0.10。

第 1 个子网内部还部署了如图中所示的虚拟机资源,虚拟机 IP 地址为 192.168.0.97。

第 2 个子网为专用子网,它内部部署了一个灵活负载均衡器。该灵活负载均衡器双向连接至部署了网络防火墙的第 1 个子网,其 IP 地址为 192.168.1.15。

第 3 个子网同样为专用子网,它内部部署了如图中所示的两个虚拟机。两个虚拟机的 IP 地址分别为 192.168.20.1 和 192.168.20.2。该子网双向连接至第 2 个子网。

在第 1 个子网中,网络防火墙连接至一个互联网网关和一个动态路由网关,这两个网关均在子网所属的虚拟云网络下可用。

其中,互联网网关双向连接至互联网。

动态路由网关则双向连接至客户本地环境下的本地设备。

来自互联网的流量将首先传输至互联网网关,然后传输至网络防火墙。网络防火墙将执行流量检查。通过检查后,流量可能会传输至同一子网中的资源,也可能传输至第 2 个子网中的负载均衡器,由其转发至第 3 个子网中的资源。

同样,来自本地环境的流量将首先传输至动态路由网关,然后传输至网络防火墙。网络防火墙将执行流量检查。通过检查后,流量可能会传输至同一子网中的资源,也可能传输至第 2 个子网中的负载均衡器,由其转发至第 3 个子网中的资源。

产品导览

构建机器学习驱动的网络防御

视图:创建网络防火墙

创建一个网络防火墙

为一个 VCN 中的一个子网创建一个网络防火墙实例和一个防火墙策略。您还可以指定其他选项,例如限定防火墙范围和添加标记。

视图:创建安全规则

创建一条安全规则

安全策略由安全规则构成。一条安全规则将为一组源地址、目标地址、应用、服务和 URL 指定一项操作。

视图:创建应用

创建一个应用列表

应用由用以识别流量(以使安全策略生效)的协议类型构成。您可以从一个常用协议类型列表中选择,也可以自行输入协议号。

您还可以将多个应用整合为一个易于使用的应用列表(图中未展示)。

视图:创建服务

创建一个服务列表

服务由用以识别流量(以使安全策略生效)的 TCP 或 UDP 协议构成。您可以输入一个或多个端口范围。

您还可以将多个服务整合为一个易于使用的服务列表(图中未展示)。

视图:创建 URL 列表

创建一个 URL 列表

URL 指可用以识别流量(以使安全策略生效)的资源名,通常为 Web 地址。您可以在一个列表中输入最多 1000 个 URL。

视图:创建服务

创建一个地址列表

创建一个 IP 地址(支持 IPv4 和 IPv6)列表或一个 CIDR 地址块范围来识别流量(以使安全策略生效)。您可以在一个列表中输入最多 1000 个地址(或范围)。

参考架构

一个精心规划的网络设计可以为成功的实施奠定坚实基础,使您的团队和组织更轻松地使用网络。通过在部署前规划网络,您可以确保网络满足您的所有要求,避免可能影响后续部署的所有潜在问题。

OCI Network Firewall — 概念和部署

阅读博客,了解 OCI Network Firewall 的基本功能和部署方法。

使用 OCI Network Firewall 保护 Web 网站和应用

本上机教程将展示如何使用 OCI Network Firewall 和 OCI Load Balancer 来保护传输至多个后端中部署的多个 Web 网站和应用的流量。

OCI Network Firewall 基于 SSL 入站流量检查执行流量解密

阅读博客,了解 OCI Network Firewall 基于 RSA 公共证书的 SSL 入站流量解密功能。

赶快行动


Oracle Cloud 免费套餐

免费在 OCI 上构建、测试和部署应用。您只需一次注册,就能获得两项免费服务。


联系销售

想详细了解 Oracle Cloud Infrastructure?让我们的专家为您提供帮助。

* Network Firewall requires a paid OCI account, either as a pay-as-you-go or Universal Credits contract.

注:为免疑义,本网页所用以下术语专指以下含义:

  1. 除Oracle隐私政策外,本网站中提及的“Oracle”专指Oracle境外公司而非甲骨文中国 。
  2. 相关Cloud或云术语均指代Oracle境外公司提供的云技术或其解决方案。