OCI Network Firewall 概要

Transcript

1. OCI Network Firewall概要 2025年10月 日本オラクル株式会社 Ver. 3.5

2. OCIネイティブの次世代ファイアウォール Network Firewall 2 Copyright © 2025 Oracle and/or its

   affiliates. All rights reserved. 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 - 4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕

3. ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -

   宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 3

4. インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/

   - www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 4 URLフィルタリング

5. 不正侵入検知・防止(IDS・IPS) 5 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する

   不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

6. TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は

   OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 6 SSLインスペクション

7. SSLフォワード・プロキシの動作 7 Copyright © 2025 Oracle and/or its affiliates. All

   rights reserved. Client Network Firewall Server ①クライアント側から サーバーへのSSL接続開始 ②ファイアウォールがクライアントからの SSL接続リクエストを受け取って一時保留 ③ファイアウォールがサーバーへのSSL接続開始 ④サーバーから証明書をファイアウォールへ送付 ⑤ファイアウォールが証明書をチェックし、自らの証明書を用いて サーバー証明書をサインしてからクライアントへ送付 ⑥クライアントがファイアウォールからの 証明書をチェック ⑦クライアントからファイアウォールへ、ファイアウォールからサーバーへのそれぞれのSSL接続が完了し通信開始 ファイアウォールがサーバーからきたトラフィックを復号してからセキュリティルールにより内容をチェックし、問題ないトラフィックを再暗号化してクライアントに送る

8. SSLインバウンド・インスペクションの動作 8 Copyright © 2025 Oracle and/or its affiliates. All

   rights reserved. Client Network Firewall Server ①ファイアウォールにサーバーの証明書と秘密鍵を配置 ②クライアント側からサーバーへの TLS接続開始 ③ファイアウォールがサーバーの証明書とプライベートキーを用いて、トラフィックを復号し その中身をチェックする ④ファイアウォールが透過的にSSLトラフィックの復号し、セキュリティルールの内容に沿ってチェックする

9. Network Firewallは、必ず一つのファイアウォールポリシーが必要 ファイアウォールポリシーは、セキュリティ・ルールと復号ルールから構成される セキュリティ・ルールまたは復号ルールが複数ある場合は、適用オーダーに従って順番にルールを判定する ファイアウォール・ポリシーの構成要素 Copyright © 2025 Oracle and/or

   its affiliates. All rights reserved. 9 Network Firewall セキュリティ・ルール リスト ルール・アクション 復号ルール 条件 ルール・アクション ファイアウォール・ポリシー

10. リスト ファイアウォール・ポリシーの構成要素 10 概要 設定例 アプリケーションリスト 拒否または許可するアプリケーション ※2023年10月時点ではICMPのみ 対応プロトコル: ICMPまたはICMPv6

    ICMPタイプ:0-8, ICMPコード: 0-3 指定可能最大数: 2500 ICMP: ICMPタイプ 8(エコー), ICMPコード 0 サービスリスト 拒否または許可するプロトコル・ポートの組み合わせ 対応プロトコル: TCP, UDP ポート範囲: 0-65535 指定可能最大数: 2000 SSH: TCP/22 HTTPS: TCP/443 範囲指定: TCP/5901-5910 URLリスト 拒否または許可するURL URLのマッチングに(*)ワイルドカード、(^)キャレットが使用可 http//またはhttps://はリストには含めない 指定可能最大数: 1000 *.example.com www.docs.example.comや www.example.com.uaはマッチする mail.^.com mail.example.com はマッチするが mail.example.sso.comはマッチしない IPアドレスリスト 拒否または許可するIPアドレス, CIDRブロック IPv4、IPv6に対応 指定可能最大数: 20000 10.0.0.0/16 10.1.0.0/24 2001:DB8::/32 2603:c020:0:6a00::/56 リストは、セキュリティ・ルールで条件として使用される要素 Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

11. ファイアウォール・ポリシーの構成要素 セキュリティ・ルール セキュリティ・ルールは、リストとルール・アクションを紐づけ、ファイアウォール・ポリシーの核となる要素 ルール・アクションは、リストに該当した場合のファイアウォールの動作を指定する セキュリティ・ルールは、最大10000まで作成することができ、それぞれのルールに適用オーダーを指定する どのルールにも該当しない場合は、トラフィックは拒否される ルールアクションの侵入検知、侵入防止は、ブルートフォースや不正なコード実行などのトラフィックを監視し遮断する 侵入検知・侵入防止の脅威シグネチャは、Palo Alto Networksから最新が提供される

    JSONファイルによるバルクインポートが可能 11 リスト ルール・アクション (※いずれかひとつを選択) セキュリティルール アプリケーションリスト サービスリスト URLリスト IPアドレスリスト トラフィックの許可 トラフィックの削除 侵入検知 侵入防止 トラフィックの拒否 Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

12. 12 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール1 ソースIP:

    172.16.2.100 宛先IP: 172.16.1.0/24 サービスリスト: 3389,5801/TCP ルール・アクション：トラフィックの許可 ルール2 セキュリティ・ルール ルール1では、接続元IPの制限なくSSHの接 続を許可、ルール2では、特定のIPから リモートデスクトップのポートを許可する設定 ルールにマッチしない場合はデフォルトで拒否 ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入防止 ルール1 Network Firewallを通過するすべてのトラ フィックは侵入防止(IPS)にてチェックされる ※任意はすべてを意味する ソースIP: 172.16.0.0/16 宛先IP: 172.16.0.0/16 サービスリスト: 80,443/TCP URLリスト: customapp.com ルール・アクション：トラフィックの許可 ルール1 ルール1: 社内WEBシステムのアクセスを限定 ルール2: SSHのアクセスを限定 ルール3: 上記ルールに該当しないすべての トラフィックを対象に侵入検知(IDS)でチェック Copyright © 2025 Oracle and/or its affiliates. All rights reserved. ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入検知 ルール3 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール2 ファイアウォール・ポリシーの構成要素 セキュリティ・ルールの動作例

13. 復号ルール SSLインスペクションに必要な復号ルールは、条件(IPアドレス)とルール・アクションで構成される 復号ルールは、最大で1000まで作成することができ、それぞれのルールに適用オーダーを指定する 復号に必要な使用なシークレット(秘密鍵と証明書のセット)は、OCI Vaultのシークレットに格納する SSLフォワード・プロキシは、CAの証明書と秘密鍵が必要 SSLフォワード・プロキシに対応するシークレットの指定は１つのみ SSLインバウンド・インスペクションは、対象とするWebサーバーのサーバー証明書と秘密鍵が必要 SSLインバウンド・インスペクションに対応するシークレットは、300まで ファイアウォール・ポリシーの構成要素

    13 Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 条件 ルールアクション 復号ルール ソースIPアドレス 宛先IPアドレス (IPアドレスリストから、もしくはすべてのIPアドレス) SSLフォワード・プロキシを含むトラフィックを復号 SSLインバウンド・インスペクションを含むトラフィックを復号 復号化しない

14. ファイアウォール・ポリシーの構成要素 復号プロファイル 14 タイプ 動作オプション 概要 SSLフォワード プロキシ 期限切れ証明書をブロック サーバの証明書が期限切れの場合はセッションをブロック

    信頼されていない発行者をブロック サーバの証明書が信頼されていない認証局（CA）によって発行されている場合、セッションをブロック ブロック・タイムアウト証明書 証明書のステータス・チェックがタイムアウトした場合にセッションをブロック サポートされていない暗号のブロック SLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック 不明な証明書をブロック 証明書ステータスが「不明」として返された場合、セッションをブロック 証明書拡張の制限 拡張をキー用途と拡張キー用途に制限 代替名の自動インクルード サーバ証明書がない場合、サブジェクト代替名（SAN）を偽装証明書に自動的に追加 リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック SSLインバウンド インスペクション サポートされていないバージョンのセッションをブロック サポートされていないバージョンのSSLプロトコルを持つセッションをブロック サポートされていない暗号のブロック SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック Copyright © 2025 Oracle and/or its affiliates. All rights reserved. SSLインスペクション実行時にセッション・モードのチェック、サーバーのチェックおよび失敗のチェックを制御する

15. Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

    15 Network Firewallインスタンスのメトリック - 送信パケット数、受信パケット数 - セキュリティ・ルールヒット数、復号ルールヒット数 メトリックを基に、パフォーマンス監視や 検知またはブロックしている該当セキュリティ・ルールなどを把握 メトリックは指定された値に到達した際、管理者への アラート通知も可能 Network Firewallのログは、Loggingサービスによって Threatログ、Trafficログとして管理 ログは、 JSONフォーマット, 最大6カ月保存 Service Connector Hubと連携することで、オブジェクト ストレージやLog Anlayticsに長期保存することが可能 メトリックおよびログによる監視・分析

16. Network Firewallログのサービス連携 16 Service Connector Hubから直接Log Analyticsにデータ連携し、詳細なログ分析が可能 Log Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -

    OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Copyright © 2025 Oracle and/or its affiliates. All rights reserved. Logging Service Connector Hub Log Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Log Analyticに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析

17. 検出された不正トラフィック例 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 17 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか？ 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLog Analyticsのものです

18. Network Firewallでインターネットアクセスを監視する基本的な設定例 インバウンドおよびアウトバウンド・トラフィックを保護 18 Copyright © 2025 Oracle and/or its

    affiliates. All rights reserved. VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ： インバウンド ： アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる

19. パブリック及びプライベート・サブネット両方に対するトラフィック監視 Tokyo Region nwfw-vcn1 172.16.0.0/21 Public Subnet 172.16.0.0/24 Internet Gateway

    Internet Destination CIDR Route Target 0.0.0.0/0 172.16.2.168 Private Subnet 172.16.1.0/24 Instance Firewall Public Subnet 172.16.2.0/24 Route Table Network Firewall 172.16.2.168 Instance Firewall Private Subnet 172.16.3.0/24 Network Firewall 172.16.3.104 NAT Gateway Destination CIDR Route Target 0.0.0.0/0 Internet Gateway Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.3.104 Route Table Destination CIDR Route Target 0.0.0.0/0 NAT Gateway 顧客接続先IP DRG Route Table DRG Customer Premises Equipment Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 19 FastConnect VPN 基本的には、パブリック、プライベート・サブネット用にそれぞれNetwork Firewallを配置する 以下はあくまで基本的な考え方であり、ユーザーの要件やネットワーク構成によっては様々な配置方式が検討できる

20. Internet Gateway + Load Balancer (Network FirewallがLBの前） Copyright © 2025

    Oracle and/or its affiliates. All rights reserved. 20 Tokyo Region nwfw-vcn1 172.16.0.0/21 Firewall Public Subnet 172.16.2.0/24 Internet Gateway Network Firewall 172.16.2.180 Internet Destination CIDR Route Target 0.0.0.0/0 IGW Private Subnet 172.16.1.0/24 Destination CIDR Route Target Instance Public Subnet 172.16.4.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.180 Load Balancer 157.151.198.205 172.16.4.205 Internet Gateway RouteTable Destination CIDR Route Target 172.16.4.0/24 172.16.2.180 Route Table Route Table Route Table メリット • NFWが一旦すべてのトラフィックを検知する境界防御的な役割を果たす • LBへの攻撃負荷を軽減し、WAFとしての運用もできる デメリット • プライベート・アクセスには別のNFWが必要となり汎用性が低い • LBのSSLに対応するためにSSLインスペクションの設定が必要

21. Internet Gateway + Load Balancer (Network FirewallがLBの後ろ） Copyright © 2025

    Oracle and/or its affiliates. All rights reserved. 21 Tokyo Region nwfw-vcn1 172.16.0.0/21 Public Subnet 172.16.4.0/24 Internet Gateway Internet Destination CIDR Route Target 0.0.0.0/0 IGW 172.16.1.0/24 172.16.3.104 Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.4.0/24 172.16.3.104 Instance Firewall Private Subnet 172.16.3.0/24 Load Balancer 157.151.198.205 172.16.4.205 Route Table Route Table ※Intra VCNルーティングなので指定なし Route Table Network Firewall 172.16.3.104 Destination CIDR Route Target メリット • 送受信のトラフィックを検査させるNFWを中心のハブ構成が組みやすい • SSLインスペクションの設定は必要ない デメリット • LBがDDoSなどのすべての攻撃トラフィックを受けるため負荷が高くなる • ソースIPがLBとなるため、不正IPアドレスの特定やアクセス制御ができない

22. Internet Gateway + Load Balancer + NAT Gatewayの組み合わせ Copyright ©

    2025 Oracle and/or its affiliates. All rights reserved. 22 Tokyo Region nwfw-vcn1 172.16.0.0/21 Public Subnet 172.16.4.0/24 Internet Gateway Internet Destination CIDR Route Target 0.0.0.0/0 IGW 172.16.1.0/24 172.16.3.104 Private Subnet 172.16.1.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.104 172.16.4.0/24 172.16.3.104 Instance Firewall Private Subnet 172.16.3.0/24 Load Balancer 157.151.198.205 172.16.4.205 Route Table Route Table ※Intra VCNルーティングなので172.16.1.0/24 への指定は必要なし Route Table Network Firewall 172.16.3.104 NAT Gateway Internet Destination CIDR Route Target 0.0.0.0/0 NAT GW インバウンドのWEBサーバへのパブリック・アクセスは、Load BalancerからNetwork Firewallを経由してバックエンドセットへ(赤線) プライベート・サブネットからのアウトバンド・アクセスは、NAT Gatewayからインターネットに (青線) NAT GatewayをService Gatewayと置き換えて対象をObject StorageなどのOCIサービスに対象を絞った構成も可能 Destination CIDR Route Target 172.16.1.0/24 172.16.3.104 NAT Route Table LBからは プライベート・アクセス

23. NAT Gateway Copyright © 2025 Oracle and/or its affiliates. All

    rights reserved. 23 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 NAT Gateway Network Firewall 172.16.3.202 Internet Private Subnet 172.16.4.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.202 Instance NAT Gateway RouteTable Destination CIDR Route Target 0.0.0.0/0 NATGW Destination CIDR Route Target 172.16.4.0/24 172.16.3.202 Route Table Route Table

24. VCNのサブネット間 (Intra-VCNルーティング) Copyright © 2025 Oracle and/or its affiliates. All

    rights reserved. 24 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 Network Firewall 172.16.3.202 Destination CIDR Route Target Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.2.0/24 172.16.3.202 Instance Private Subnet 172.16.2.0/24 Destination CIDR Route Target 172.16.1.0/24 172.16.3.202 Instance Route Table Route Table Route Table ※記述の必要なし

25. オンプレミスとVCN間 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 25 On-Premises 10.0.0.0/16 Customer Premises Equipment Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.101 Destination CIDR Route Target 10.0.0.0/16 DRG Site-to-Site VPN DRG Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 10.0.0.0/16 172.16.0.101 VCN Route Table Destination CIDR Route Target 172.16.0.0/21 172.16.0.101 Route Table Route Table

26. Hub & Spoke構成によるVCN間 Copyright © 2025 Oracle and/or its affiliates.

    All rights reserved. 26 Tokyo Region Spoke-VCN 1 172.16.8.0/21 Private Subnet 172.16.9.0/24 Instance Destination CIDR Route Target 172.16.16.0/21 DRG Spoke-VCN 2 172.16.16.0/21 Private Subnet 172.16.17.0/24 Instance Destination CIDR Route Target 172.16.8.0/21 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 DRG Attachment Name DRG Route Hub-VCN 172.16.8.0/21 -> Spoke-VCN1 172.16.16.0/21 -> Spoke-VCN2 Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Route Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 DRG Spoke-VCN1,VCN2のトラフィックは Network Firewallを必ず経由する DRG Route Route Table ( アウトバウンド・ルーティング用) VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21 VCN Attachment VCN Attachment VCN Attachment

27. Tokyo Region オンプレミスとHub & Spoke構成の組み合わせ (IPSec-VPN + Hub & Spoke)

    Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 27 Private Subnet 172.16.9.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.17.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 DRG Route Route Table ( アウトバウンド・ルーティング用) On-Premises 192.168.0.0/21 Customer Premises Equipment Site-to-Site VPN Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0.0/21 -> IPSec Tunnel Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN DRG Destination CIDR Route Target 172.16.8.0/21 Hub-VCN 172.16.16.0/21 Hub-VCN IPSec DRG Table VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21 VCN Attachment VCN Attachment VCN Attachment

28. テナンシーを跨ったVCN間 (Cross Tenancy Peering + Hub & Spoke) Copyright ©

    2025 Oracle and/or its affiliates. All rights reserved. 28 Tenancy ABC - Tokyo Region Hub-VCN 192.168.0.0/21 Tenancy XYZ - Tokyo Region Private Subnet 172.16.8.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.16.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.229 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.229 Route Table ( アウトバウンド・ルーティング用) Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 DRG Private Subnet 192.168.0.0/24 Instance Destination CIDR Route Target 172.16.0.0/21 DRG 172.16.8.0/21 DRG 172.16.16.0/21 DRG `Route Table Cross Tenancy Peering DRG Route Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0/21 -> Cross Tenancy Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Attachment VCN Attachment VCN Attachment Cross Tenancy Attachment リージョンが同じ場合 VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21

29. テナンシーを跨ったVCN間 (Remote Peering + Hub & Spoke) Copyright © 2025

    Oracle and/or its affiliates. All rights reserved. 29 Tenancy ABC - Tokyo Region Hub-VCN 192.168.0.0/21 Tenancy XYZ - Osaka Region Private Subnet 172.16.8.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 172.16.16.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.229 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Destination CIDR Route Target 0.0.0.0/0 172.16.1.229 Route Table ( アウトバウンド・ルーティング用) Spoke-VCN 1 172.16.8.0/21 Spoke-VCN 2 172.16.16.0/21 DRG Private Subnet 192.168.0.0/24 Instance Destination CIDR Route Target 172.16.0.0/21 DRG 172.16.8.0/21 DRG 172.16.16.0/21 DRG `Route Table Remote Peering DRG Route Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke1-VCN 172.16.16.0/21 -> Spoke2-VCN 192.168.0/21 -> Remote Peering Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Attachment VCN Attachment VCN Attachment Remote Peering Attachment リージョンが異なる場合 DRG VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21 Spoke-VCN2 172.16.16.0/21

30. Tokyo Region Spoke-VCN 1 172.16.8.0/21 Private Subnet 172.16.9.0/21 Destination CIDR

    Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke-VCN1 Spoke-VCN1 0.0.0.0/0 → Hub-VCN VCN Route Destination CIDR Route Target 172.16.0.0/24 172.16.1.133 DRG DRG Route Internet VCNを跨いだLoad Balancer + Network Firewall (Hub & Spoke) Load Balancer Public Subnet 172.16.0.0/24 Load Balancer Destination CIDR Route Target 172.16.8.0/21 172.16.1.133 0.0.0.0/0 IGW Internet Gateway Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.133 Destination CIDR Route Target 0.0.0.0/0 DRG バックエンドセットへの アクセスはプライベートIPで Network Firewallを経由する インターネットからは パブリックIPでLBにアクセスする Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 30 Backend Set VM VCN Attachment VCN Attachment VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21

31. Tokyo Region Spoke-VCN 1 172.16.8.0/21 Private Subnet 172.16.9.0/21 Destination CIDR

    Route Target 0.0.0.0/0 DRG Hub-VCN 172.16.0.0/21 Attachment Name DRG Route Hub-VCN 172.16.8.0/21 → Spoke-VCN1 Spoke-VCN1 0.0.0.0/0 → Hub-VCN VCN Route Destination CIDR Route Target 172.16.0.0/24 172.16.1.133 0.0.0.0/0 172.16.1.133 DRG DRG Route Internet VCNを跨いだLoad Balancer + Network Firewall (Hub & Spoke) + NAT GW Load Balancer Public Subnet 172.16.0.0/24 Load Balancer Destination CIDR Route Target 172.16.8.0/21 172.16.1.133 0.0.0.0/0 IGW Internet Gateway Firewall Private Subnet 172.16.1.0/24 Network Firewall 172.16.1.133 Destination CIDR Route Target 0.0.0.0/0 DRG Public CIDR NATGW Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 31 Backend Set VM VCN Attachment VCN Attachment NAT Gateway インバウンドのWEBサーバへのパブリック・アクセスは、Load BalancerからNetwork Firewallを経由してバックエンドセットへ(黄線) プライベート・サブネットからの特定のIPアドレスに対するアウトバンド・アクセスは、Hub-VCNのNAT Gatewayからインターネットに (青線) Destination CIDR Route Target 172.16.8.0/21 172.16.1.133 NAT Route Table 追加項目 VCN CIDR Hub-VCN 172.16.0.0/21 Spoke-VCN1 172.16.8.0/21

32. VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに 送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査

    侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など 既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置 トンネル・インスペクションのログはLoggingに出力 Network Firewall Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 32 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスの トラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化 及び パケット検査

33. トンネル・インスペクションの設定例 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 33 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用の サブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れる トラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査 ルールとセキュリティルールの アクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ ⑤

34. トンネル・インスペクションの設定例 Copyright © 2025 Oracle and/or its affiliates. All rights

    reserved. 34 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表 ルート表 ルート表 ルート表 VTAP 既存ネットワークへの影響という点では、 以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n Destination CIDR Route Target 172.16.3.0/24 172.16.2.31

35. SNAT(ソース・ネットワーク・アドレス変換)のサポート 送信側のIPアドレスをNetwork FirewallのIPアドレスに変換する Network Firewallのサブネットから4つのIPアドレスが自動的に割り当てられ いずれかのIPアドレスが使用される NATに使用されるIPアドレスの指定や固定化させることはできない プライベートIPアドレスのみ対応 NATの有無をルールで指定可能 •

    送信元アドレス、送信先アドレス、サービス(TCP/UDP, ポート)の 条件にてNATを実行 • 複数条件や優先順位の指定可能 NATルールによるIPアドレスの隠ぺい Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 35 Network Firewall Subnet 172.16.2.0/24 Network Firewall 172.16.2.64 NAT IPアドレス 172.16.2.130 172.16.2.176 172.16.2.180 172.16.2.198 Subnet 172.16.0.0/24 Instance 172.16.0.1 Subnet 172.16.1.0/24 Instance 172.16.1.100 送信元IP 172.16.0.1 送信元IP 172.16.2.176

36. Network Firewallのユースケース 36 • 外部公開しているWebアプリケーション： 境界型セキュリティ対策 パッチの適用・更新するまで既知の脆弱性から保護 例：CVE-2017-5638（リモートから任意のコードが実行可能なApache Struts2の脆弱性） •

    アウトバウンド通信： データ流出からの保護 マルウェア感染によるインターネット上にあるC&Cサーバへの接続を防止する *.amex.comやPayPalといったECサイトに不可欠なペイメントゲートウェイへの接続のみを許可する • VCNまたはサブネット間の移動： アプリケーションのセグメンテーションとゼロトラスト 全ての脅威がサブネットやVCNといった異なる信頼ドメイン間を横方向に移動するのをブロックする データベースにアクセスできる経路を最小限にし、DBの脆弱性を悪用した攻撃を遮断する Copyright © 2025 Oracle and/or its affiliates. All rights reserved.

37. Network Firewallの課金体系は、Firewall InstanceとData processingの２種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 37 Copyright ©

    2025 Oracle and/or its affiliates. All rights reserved. SKU PAYG（Pay As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥426/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.6/GB （1ヶ月あたり10TBまで無料）
38. None

39. OCI チュートリアル https://oracle-japan.github.io/ocitutorials/security/ OCI Network Firewallによるトラフィック監視 (Intra-VCNルーティング) https://qiita.com/western24/items/8f17855f1ed4cb59e321 OCI Network

    Firewallでサイバー攻撃を防ぐ https://qiita.com/western24/items/fc6174b124d10dc80230 OCI Network Firewallを使用したハブ&スポーク構成 https://qiita.com/western24/items/f1029b1dd0fa15117344 OCI Network Firewallでテナンシーを跨ったVCNのトラフィック監視 https://qiita.com/Western24/items/a4503d6bf67bf6b4b7c8 Appendix Copyright © 2025 Oracle and/or its affiliates. All rights reserved. 39