Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIJP#33_NetworkFirewall

Shinya Omori
September 06, 2022
Technology
0
500

 OCIJP#33_NetworkFirewall

OCIjp #33 夏休みの自由研究成果発表会
2022/09/06(火)19:00 〜 20:30
https://fullenergy-oci.connpass.com/event/258981/

Shinya Omori

September 06, 2022
Tweet

More Decks by Shinya Omori

See All by Shinya Omori
AWS案件で得たナレッジ紹介_20240920
shinpy
0
46
OCI Cloud Native アーキテクチャ from 他社クラウド_移行の秘訣
shinpy
0
170
Oracle Cloud Infrastructure Advent Calendar 2023 - Cloudii -
shinpy
0
160
OCIと歩んだ2年間
shinpy
0
360
Cloudiiブログで実践するOCI
shinpy
0
50
ウェブ地図「地理院地図」with Fastly
shinpy
0
390
MySQL Database Service レビュー
shinpy
0
380
OCIJP#11_Always Free
shinpy
0
350
AWS×VPN
shinpy
0
650

Other Decks in Technology

See All in Technology
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
380
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
370
ハイパーパラメータチューニングって何をしているの
toridori_dev
0
140
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
170
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
0
980
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
TypeScript、上達の瞬間
sadnessojisan
46
13k
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.6k
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
120
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110

Featured

See All Featured
The Cult of Friendly URLs
andyhume
78
6k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Building an army of robots
kneath
302
43k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
28
2k
A Philosophy of Restraint
colly
203
16k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
A Modern Web Designer's Workflow
chriscoyier
693
190k
It's Worth the Effort
3n
183
27k
Facilitating Awesome Meetings
lara
50
6.1k
Bash Introduction
62gerente
608
210k
A Tale of Four Properties
chriscoyier
156
23k

Transcript

  1. OCI で Network Firewallがリリースされたら 自由研究しない わけがない - OCIjp#33 -

  2. 2 Copyright © 2022 Atomitech Inc. All rights reserved. ⼤森

    信哉 @shinpy 株式会社アトミテック クラウドサービス事業である (クラウディ)を担当 福島県会津若松市 在住(リモート) インフラエンジニア、エバンジェリスト、 営業(マーケティング) 、いろいろ クラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割 好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)

  3. 3 Copyright © 2022 Atomitech Inc. All rights reserved. @Cloudii_jp

    https://cloudii.jp/ ハッシュタグ #Cloudii Cloudii Blog

  4. 4 Copyright © 2022 Atomitech Inc. All rights reserved. 今⽇のセッションは...

    🤔

  5. 5 Copyright © 2022 Atomitech Inc. All rights reserved. 夏休み⾃由研究成果発表

    〜 OCI Network Firewall 〜 ※注意 2022/9/6評価で確認できている範囲での想定内容となります。

  6. 6 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは1 u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle Cloud Infrastructure VCNの侵入検出および防止サービス ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm 1. IPS/IDSが使える! 2. URLフィルタリング等の各フィルタリング 3. SSL検査 4. トラフィック検査 UTMをマネージドで使える!!

  7. 7 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは2 u価格 月額:約24万円 (2022/9/6時点)

  8. 8 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは3 u参考資料 (今回検証時に参照したサイト) • 公式ドキュメント https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm • 公式ブログ? :OCI Network Firewall - Concepts and Deployment https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment • Youtube:Oracle Cloud Infrastructure Network Firewall Overview https://www.youtube.com/watch?v=AlwQQQOl5qw

  9. 9 Copyright © 2022 Atomitech Inc. All rights reserved. 検証構成

    VCN_172.17.0.0/16 ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1 PrivateSubnet 172.21.10.0/24 PublicSubnet 172.17.1.0/24 インターネット Internet Gateway NAT Gateway 端末 PublicSubnet 172.17.0.0/24 Network Firewall (254) WEB01 (208) WEB02 (144) Bastion (181) PWEB (10) LB DNS u情報 1. NW • VCN:172.17.0.0/16 • PublicSubnet • 172.17.0.0/24 • 172.17.1.0/24 • PlibateSubnet • 172.17.10.0/24 2. DNS • LB =flb.shinpy.info • Bastion=bastion.shinpy.info • PWEB =pweb.shinpy.info 3. Routeng • PublicSubnetはNetworkFirewallを通過 するように設定 ※実画面で説明

  10. 10 Copyright © 2022 Atomitech Inc. All rights reserved. DEMO

    環境を実際に⾒てみましょう〜

  11. 11 Copyright © 2022 Atomitech Inc. All rights reserved. デモの補⾜

    uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要 uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする) ※ 構成図を書いて設計推奨!! uIDS(侵入検知)のログは「”action” : “alert”」で検出確認 uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認 ※ “reset-both”は送信元と先にRST(リセット)パケットを送信

  12. 12 Copyright © 2022 Atomitech Inc. All rights reserved. 感想

    uちょっとお高めだが、マネージドなのでそこは楽そう! • ある程度の規模、IPS/IDS必須等の要件時は良さそう ※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む • UTMをマネージドしてくれる(パッチ等が自動のはず) • SR対象範囲?であれば、サポート付きなのでお得?! u 慣れが必要 • パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。 • 直感で設定できなかったので、マニュアルやブログを活用して設定する。 ※利用料金が高いので検証もタイトにしたい u その他 • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。 • WAFとの連携でより強固なセキュリティを提供 • URLフィルター設定が上手くいかない!(宿題)

  13. Copyright © 2022 Atomitech Inc. All rights reserved. 13 We

    Are Hiring!! [email protected] 宛先:me