OCI Network Firewall 概要

Transcript

1. OCI Network Firewall概要 2025年9月 日本オラクル株式会社 Ver. 3.4

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 2

   Copyright © 2025, Oracle and/or its affiliates

3. OCIネイティブの次世代ファイアウォール Network Firewall 3 Copyright © 2025 Oracle and/or its

   affiliates. All rights reserved. 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 - 4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕

4. ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -

   宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 4

5. インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/

   - www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 5 URLフィルタリング

6. 不正侵入検知・防止(IDS・IPS) 6 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する

   不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

7. TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は

   OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 7 SSLインスペクション

8. SSLフォワード・プロキシの動作 8 Copyright © 2025 Oracle and/or its affiliates. All

   rights reserved. Client Network Firewall Server ①クライアント側から サーバーへのSSL接続開始 ②ファイアウォールがクライアントからの SSL接続リクエストを受け取って一時保留 ③ファイアウォールがサーバーへのSSL接続開始 ④サーバーから証明書をファイアウォールへ送付 ⑤ファイアウォールが証明書をチェックし、自らの証明書を用いて サーバー証明書をサインしてからクライアントへ送付 ⑥クライアントがファイアウォールからの 証明書をチェック ⑦クライアントからファイアウォールへ、ファイアウォールからサーバーへのそれぞれのSSL接続が完了し通信開始 ファイアウォールがサーバーからきたトラフィックを復号してからセキュリティルールにより内容をチェックし、問題ないトラフィックを再暗号化してクライアントに送る

9. SSLインバウンド・インスペクションの動作 9 Copyright © 2025 Oracle and/or its affiliates. All

   rights reserved. Client Network Firewall Server ①ファイアウォールにサーバーの証明書と秘密鍵を配置 ②クライアント側からサーバーへの TLS接続開始 ③ファイアウォールがサーバーの証明書とプライベートキーを用いて、トラフィックを復号し その中身をチェックする ④ファイアウォールが透過的にSSLトラフィックの復号し、セキュリティルールの内容に沿ってチェックする

10. Network Firewallは、必ず一つのファイアウォールポリシーが必要 ファイアウォールポリシーは、セキュリティ・ルールと復号ルールから構成される セキュリティ・ルールまたは復号ルールが複数ある場合は、適用オーダーに従って順番にルールを判定する ファイアウォール・ポリシーの構成要素 Copyright © 2025 Oracle and/or

    its affiliates. All rights reserved. 10 Network Firewall セキュリティ・ルール リスト ルール・アクション 復号ルール 条件 ルール・アクション ファイアウォール・ポリシー

11. リスト ファイアウォール・ポリシーの構成要素 11 概要 設定例 アプリケーションリスト 拒否または許可するアプリケーション ※2023年10月時点ではICMPのみ 対応プロトコル: ICMPまたはICMPv6

    ICMPタイプ:0-8, ICMPコード: 0-3 指定可能最大数: 2500 ICMP: ICMPタイプ 8(エコー), ICMPコード 0 サービスリスト 拒否または許可するプロトコル・ポートの組み合わせ 対応プロトコル: TCP, UDP ポート範囲: 0-65535 指定可能最大数: 2000 SSH: TCP/22 HTTPS: TCP/443 範囲指定: TCP/5901-5910 URLリスト 拒否または許可するURL URLのマッチングに(*)ワイルドカード、(^)キャレットが使用可 http//またはhttps://はリストには含めない 指定可能最大数: 1000 *.example.com www.docs.example.comや www.example.com.uaはマッチする mail.^.com mail.example.com はマッチするが mail.example.sso.comはマッチしない IPアドレスリスト 拒否または許可するIPアドレス, CIDRブロック IPv4、IPv6に対応 指定可能最大数: 20000 10.0.0.0/16 10.1.0.0/24 2001:DB8::/32 2603:c020:0:6a00::/56 リストは、セキュリティ・ルールで条件として使用される要素 Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

12. ファイアウォール・ポリシーの構成要素 セキュリティ・ルール セキュリティ・ルールは、リストとルール・アクションを紐づけ、ファイアウォール・ポリシーの核となる要素 ルール・アクションは、リストに該当した場合のファイアウォールの動作を指定する セキュリティ・ルールは、最大10000まで作成することができ、それぞれのルールに適用オーダーを指定する どのルールにも該当しない場合は、トラフィックは拒否される ルールアクションの侵入検知、侵入防止は、ブルートフォースや不正なコード実行などのトラフィックを監視し遮断する 侵入検知・侵入防止の脅威シグネチャは、Palo Alto Networksから最新が提供される

    JSONファイルによるバルクインポートが可能 12 リスト ルール・アクション (※いずれかひとつを選択) セキュリティルール アプリケーションリスト サービスリスト URLリスト IPアドレスリスト トラフィックの許可 トラフィックの削除 侵入検知 侵入防止 トラフィックの拒否 Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

13. 13 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール1 ソースIP:

    172.16.2.100 宛先IP: 172.16.1.0/24 サービスリスト: 3389,5801/TCP ルール・アクション：トラフィックの許可 ルール2 セキュリティ・ルール ルール1では、接続元IPの制限なくSSHの接 続を許可、ルール2では、特定のIPから リモートデスクトップのポートを許可する設定 ルールにマッチしない場合はデフォルトで拒否 ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入防止 ルール1 Network Firewallを通過するすべてのトラ フィックは侵入防止(IPS)にてチェックされる ※任意はすべてを意味する ソースIP: 172.16.0.0/16 宛先IP: 172.16.0.0/16 サービスリスト: 80,443/TCP URLリスト: customapp.com ルール・アクション：トラフィックの許可 ルール1 ルール1: 社内WEBシステムのアクセスを限定 ルール2: SSHのアクセスを限定 ルール3: 上記ルールに該当しないすべての トラフィックを対象に侵入検知(IDS)でチェック Copyright © 2025 Oracle and/or its affiliates. All rights reserved. ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入検知 ルール3 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール2 ファイアウォール・ポリシーの構成要素 セキュリティ・ルールの動作例

14. 復号ルール SSLインスペクションに必要な復号ルールは、条件(IPアドレス)とルール・アクションで構成される 復号ルールは、最大で1000まで作成することができ、それぞれのルールに適用オーダーを指定する 復号に必要な使用なシークレット(秘密鍵と証明書のセット)は、OCI Vaultのシークレットに格納する SSLフォワード・プロキシは、CAの証明書と秘密鍵が必要 SSLフォワード・プロキシに対応するシークレットの指定は１つのみ SSLインバウンド・インスペクションは、対象とするWebサーバーのサーバー証明書と秘密鍵が必要 SSLインバウンド・インスペクションに対応するシークレットは、300まで ファイアウォール・ポリシーの構成要素

    14 Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 条件 ルールアクション 復号ルール ソースIPアドレス 宛先IPアドレス (IPアドレスリストから、もしくはすべてのIPアドレス) SSLフォワード・プロキシを含むトラフィックを復号 SSLインバウンド・インスペクションを含むトラフィックを復号 復号化しない

15. ファイアウォール・ポリシーの構成要素 復号プロファイル 15 タイプ 動作オプション 概要 SSLフォワード プロキシ 期限切れ証明書をブロック サーバの証明書が期限切れの場合はセッションをブロック

    信頼されていない発行者をブロック サーバの証明書が信頼されていない認証局（CA）によって発行されている場合、セッションをブロック ブロック・タイムアウト証明書 証明書のステータス・チェックがタイムアウトした場合にセッションをブロック サポートされていない暗号のブロック SLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック 不明な証明書をブロック 証明書ステータスが「不明」として返された場合、セッションをブロック 証明書拡張の制限 拡張をキー用途と拡張キー用途に制限 代替名の自動インクルード サーバ証明書がない場合、サブジェクト代替名（SAN）を偽装証明書に自動的に追加 リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック SSLインバウンド インスペクション サポートされていないバージョンのセッションをブロック サポートされていないバージョンのSSLプロトコルを持つセッションをブロック サポートされていない暗号のブロック SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック Copyright © 2025 Oracle and/or its affiliates. All rights reserved. SSLインスペクション実行時にセッション・モードのチェック、サーバーのチェックおよび失敗のチェックを制御する

16. Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

    16 Network Firewallインスタンスのメトリック - 送信パケット数、受信パケット数 - セキュリティ・ルールヒット数、復号ルールヒット数 メトリックを基に、パフォーマンス監視や 検知またはブロックしている該当セキュリティ・ルールなどを把握 メトリックは指定された値に到達した際、管理者への アラート通知も可能 Network Firewallのログは、Loggingサービスによって Threatログ、Trafficログとして管理 ログは、 JSONフォーマット, 最大6カ月保存 Service Connector Hubと連携することで、オブジェクト ストレージやLog Anlayticsに長期保存することが可能 メトリックおよびログによる監視・分析

17. Network Firewallログのサービス連携 17 Service Connector Hubから直接Log Analyticsにデータ連携し、詳細なログ分析が可能 Log Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -

    OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Copyright © 2025 Oracle and/or its affiliates. All rights reserved. Logging Service Connector Hub Log Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Log Analyticに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析

18. 検出された不正トラフィック例 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 18 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか？ 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLog Analyticsのものです

19. Network Firewallでインターネットアクセスを監視する基本的な設定例 インバウンドおよびアウトバウンド・トラフィックを保護 19 Copyright © 2025 Oracle and/or its

    affiliates. All rights reserved. VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ： インバウンド ： アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる

20. Internet Gateway + Load Balancer トラフィック監視 Copyright © 2025 Oracle

    and/or its affiliates. All rights reserved. 20 Tokyo Region nwfw-vcn1 172.16.0.0/21 Firewall Subnet 172.16.2.0/24 Internet Gateway Network Firewall 172.16.2.31 Internet Destination CIDR Route Target 0.0.0.0/0 IGW Private Subnet 172.16.1.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.31 Instance Public Subnet 172.16.0.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.31 Load Balancer 193.122.183.219 Internet Gateway RouteTable Destination CIDR Route Target 172.16.0.0/24 172.16.2.31 172.16.1.0/24 172.16.2.31 Route Table Route Table Route Table ※Load Balancerが前の構成でも可

21. NAT Gateway トラフィック監視 Copyright © 2025 Oracle and/or its affiliates.

    All rights reserved. 21 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 NAT Gateway Network Firewall 172.16.3.202 Internet Private Subnet 172.16.4.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.202 Instance NAT Gateway RouteTable Destination CIDR Route Target 0.0.0.0/0 NATGW Destination CIDR Route Target 172.16.4.0/24 172.16.3.202 Route Table Route Table

22. サブネット間トラフィック監視 (Intra-VCNルーティング) Copyright © 2025 Oracle and/or its affiliates. All

    rights reserved. 22 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 Network Firewall 172.16.3.202 Destination CIDR Route Target Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.2.0/24 172.16.3.202 Instance Private Subnet 172.16.2.0/24 Destination CIDR Route Target 172.16.1.0/24 172.16.3.202 Instance Route Table Route Table Route Table

23. オンプレミスとVCN間のトラフィック監視 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 23 On-Premises 10.0.0.0/16 Customer Premises Equipment Tokyo Region Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.101 Destination CIDR Route Target 10.0.0.0/16 DRG Site-to-Site VPN DRG Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 10.0.0.0/16 172.16.0.101 VCN Route Table Destination CIDR Route Target 172.16.0.0/21 172.16.0.101 Route Table Route Table

24. VCN間トラフィック監視 (Hub & Spoke) Copyright © 2025 Oracle and/or its

    affiliates. All rights reserved. 24 Tokyo Region Spoke-VCN 1 172.16.1.0/24 Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 172.16.0.0/24 DRG 172.16.2.0/24 DRG Spoke-VCN 2 172.16.2.0/24 Private Subnet 172.16.2.0/24 Instance Destination CIDR Route Target 172.16.0.0/24 DRG 172.16.1.0/24 DRG Hub-VCN 172.16.0.0/24 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.114 Destination CIDR Route Target 172.16.1.0/21 DRG 172.16.2.0/21 DRG Attachment Name DRG Route Hub-VCN 172.16.1.0/24 -> Spoke-VCN1 172.16.2.0/24 -> Spoke-VCN2 Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Route Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 172.16.1.0/24 172.16.0.114 172.16.2.0/24 172.16.0.114 DRG Spoke-VCN1,VCN2のトラフィックは Network Firewallを必ず経由する DRG Route Route Table ( アウトバウンド・ルーティング用)

25. Tokyo Region オンプレミスとVCN間のトラフィック監視 (IPSec-VPN + Hub & Spoke) Copyright ©

    2025 Oracle and/or its affiliates. All rights reserved. 25 Private Subnet 192.168.1.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 192.168.2.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 192.168.0.0/24 Firewall Private Subnet 192.168.0.0/24 Network Firewall 192.168.0.105 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 0.0.0.0/0 192.168.0.105 DRG Route Route Table ( アウトバウンド・ルーティング用) On-Premises 172.16.0.0/21 Customer Premises Equipment Site-to-Site VPN Spoke-VCN 1 192.168.1.0/24 Spoke-VCN 2 192.168.2.0/24 Attachment Name DRG Route Hub-VCN 192.168.1.0/24 → Spoke1-VCN 192.168.2.0/24 -> Spoke2-VCN 172.16.0.0/21 -> IPSec Tunnel Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN DRG Destination CIDR Route Target 192.168.1.0/24 Hub-VCN 192.168.2.0/24 Hub-VCN IPSec DRG Table

26. テナンシーを跨ったVCNのトラフィック監視 (Cross Tenancy Peering + Hub & Spoke) Copyright ©

    2025 Oracle and/or its affiliates. All rights reserved. 26 Tenancy ABC - Tokyo Region Hub-VCN 192.168.0.0/21 Tenancy XYZ - Tokyo Region Private Subnet 172.16.8.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.16.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.229 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.229 Route Table ( アウトバウンド・ルーティング用) Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 DRG Private Subnet 192.168.0.0/24 Instance Destination CIDR Route Target 172.16.0.0/21 DRG 172.16.8.0/21 DRG 172.16.16.0/21 DRG `Route Table Cross Tenancy Peering DRG Route Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0/21 -> Cross Tenancy Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Attachment VCN Attachment VCN Attachment Cross Tenancy Attachment

27. Tokyo Region Spoke-VCN 1 192.168.8.0/21 Private Subnet 192.168.8.0/24 Backend Set

    VM 192.168.8.209 Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 192.168.0.0/21 Attachment Name DRG Route Hub-VCN 192.168.8.0/24 → Spoke-VCN1 192.168.16.0/24 → Spoke-VCN2 Spoke- VCN1 0.0.0.0/0 → Hub-VCN Spoke- VCN2 0.0.0.0/0 → Hub-VCN VCN Route Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 192.168.0.0/21 192.168.2.156 192.168.8.0/21 192.168.2.156 192.168.16.0/21 192.168.2.156 DRG DRG Route Internet Gateway RouteTable Destination CIDR Route Target 192.168.3.0/24 192.168.2.156 Spoke-VCN 2 192.168.16.0/21 Private Subnet 192.168.16.0/24 VM Destination CIDR Route Target 0.0.0.0/0 DRG Internet VCN間トラフィック監視 (Hub & Spoke) + Load Balancerパブリックアクセス追加 Load Balancer Public Subnet 192.168.3.0/24 Load Balancer 152.70.102.xx 192.168.3.221 Destination CIDR Route Target 0.0.0.0/0 IGW Internet Gateway Firewall Public Subnet 192.168.2.0/24 Network Firewall 192.168.2.156 Destination CIDR Route Target 0.0.0.0/0 IGW 192.168.0/21 DRG 192.168.16.0/21 DRG バックエンドセットへの アクセスはプライベートIPで Network Firewallを経由する インターネットからは パブリックIPでLBにアクセスする Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 27

28. VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに 送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査

    侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など 既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置 トンネル・インスペクションのログはLoggingに出力 Network Firewall Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 28 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスの トラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化 及び パケット検査

29. トンネル・インスペクションの設定例 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 29 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用の サブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れる トラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査 ルールとセキュリティルールの アクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ ⑤

30. トンネル・インスペクションの設定例 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 30 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表 ルート表 ルート表 ルート表 VTAP 既存ネットワークへの影響という点では、 以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n Destination CIDR Route Target 172.16.3.0/24 172.16.2.31

31. SNAT(ソース・ネットワーク・アドレス変換)のサポート 送信側のIPアドレスをNetwork FirewallのIPアドレスに変換する Network Firewallのサブネットから4つのIPアドレスが自動的に割り当てられ いずれかのIPアドレスが使用される NATに使用されるIPアドレスの指定や固定化させることはできない プライベートIPアドレスのみ対応 NATの有無をルールで指定可能 •

    送信元アドレス、送信先アドレス、サービス(TCP/UDP, ポート)の 条件にてNATを実行 • 複数条件や優先順位の指定可能 NATルールによるIPアドレスの隠ぺい Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 31 Network Firewall Subnet 172.16.2.0/24 Network Firewall 172.16.2.64 NAT IPアドレス 172.16.2.130 172.16.2.176 172.16.2.180 172.16.2.198 Subnet 172.16.0.0/24 Instance 172.16.0.1 Subnet 172.16.1.0/24 Instance 172.16.1.100 送信元IP 172.16.0.1 送信元IP 172.16.2.176

32. Network Firewallの課金体系は、Firewall InstanceとData processingの２種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 32 Copyright ©

    2025 Oracle and/or its affiliates. All rights reserved. SKU PAYG（Pay As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥426/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.6/GB （1ヶ月あたり10TBまで無料）

33. OCI チュートリアル https://oracle-japan.github.io/ocitutorials/security/ OCI Network Firewallによるトラフィック監視 (Intra-VCNルーティング) https://qiita.com/western24/items/8f17855f1ed4cb59e321 OCI Network

    Firewallでサイバー攻撃を防ぐ https://qiita.com/western24/items/fc6174b124d10dc80230 OCI Network Firewallを使用したハブ&スポーク構成 https://qiita.com/western24/items/f1029b1dd0fa15117344 OCI Network Firewallでテナンシーを跨ったVCNのトラフィック監視 https://qiita.com/Western24/items/a4503d6bf67bf6b4b7c8 Appendix Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 33
34. None