Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIJP#33_NetworkFirewall

Shinya Omori
September 06, 2022
Technology
0
440

 OCIJP#33_NetworkFirewall

OCIjp #33 夏休みの自由研究成果発表会
2022/09/06(火)19:00 〜 20:30
https://fullenergy-oci.connpass.com/event/258981/

Shinya Omori

September 06, 2022
Tweet

More Decks by Shinya Omori

See All by Shinya Omori
OCI Cloud Native アーキテクチャ from 他社クラウド_移行の秘訣
shinpy
0
120
Oracle Cloud Infrastructure Advent Calendar 2023 - Cloudii -
shinpy
0
89
OCIと歩んだ2年間
shinpy
0
320
Cloudiiブログで実践するOCI
shinpy
0
47
ウェブ地図「地理院地図」with Fastly
shinpy
0
360
MySQL Database Service レビュー
shinpy
0
340
OCIJP#11_Always Free
shinpy
0
330
AWS×VPN
shinpy
0
590
AWSからOCIへの移行事例
shinpy
0
530

Other Decks in Technology

See All in Technology
Cracking the KubeCon CfP
inductor
2
270
止まらないLinuxシステムを構築する_高信頼性クラスタ入門
koedoyoshida
2
430
【基本】データベース設計
oracle4engineer
PRO
2
180
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
4
700
M5と自作基板をくっつけてみた〜M5 Japan Tour 2024 Spring 福冈 (Fukuoka|福岡)〜
keropiyo
0
130
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
1k
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
250
IPUT App Dev. Co. -Overview 2024/4
iputapp
0
130
今さら聞けないDocker入門 〜 Dockerfileのベストプラクティス編
devops_vtj
4
560
アクセス制御にまつわる改善 / Improving access control
itkq
0
590
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
7
1.3k
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.6k

Featured

See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
267
19k
KATA
mclloyd
16
12k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Building an army of robots
kneath
300
41k
The Cult of Friendly URLs
andyhume
74
5.7k
Facilitating Awesome Meetings
lara
43
5.6k
Creatively Recalculating Your Daily Design Routine
revolveconf
211
11k
Web development in the modern age
philhawksworth
203
10k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Infographics Made Easy
chrislema
238
18k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
245
20k

Transcript

  1. OCI で Network Firewallがリリースされたら 自由研究しない わけがない - OCIjp#33 -

  2. 2 Copyright © 2022 Atomitech Inc. All rights reserved. ⼤森

    信哉 @shinpy 株式会社アトミテック クラウドサービス事業である (クラウディ)を担当 福島県会津若松市 在住(リモート) インフラエンジニア、エバンジェリスト、 営業(マーケティング) 、いろいろ クラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割 好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)

  3. 3 Copyright © 2022 Atomitech Inc. All rights reserved. @Cloudii_jp

    https://cloudii.jp/ ハッシュタグ #Cloudii Cloudii Blog

  4. 4 Copyright © 2022 Atomitech Inc. All rights reserved. 今⽇のセッションは...

    🤔

  5. 5 Copyright © 2022 Atomitech Inc. All rights reserved. 夏休み⾃由研究成果発表

    〜 OCI Network Firewall 〜 ※注意 2022/9/6評価で確認できている範囲での想定内容となります。

  6. 6 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは1 u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle Cloud Infrastructure VCNの侵入検出および防止サービス ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm 1. IPS/IDSが使える! 2. URLフィルタリング等の各フィルタリング 3. SSL検査 4. トラフィック検査 UTMをマネージドで使える!!

  7. 7 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは2 u価格 月額:約24万円 (2022/9/6時点)

  8. 8 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは3 u参考資料 (今回検証時に参照したサイト) • 公式ドキュメント https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm • 公式ブログ? :OCI Network Firewall - Concepts and Deployment https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment • Youtube:Oracle Cloud Infrastructure Network Firewall Overview https://www.youtube.com/watch?v=AlwQQQOl5qw

  9. 9 Copyright © 2022 Atomitech Inc. All rights reserved. 検証構成

    VCN_172.17.0.0/16 ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1 PrivateSubnet 172.21.10.0/24 PublicSubnet 172.17.1.0/24 インターネット Internet Gateway NAT Gateway 端末 PublicSubnet 172.17.0.0/24 Network Firewall (254) WEB01 (208) WEB02 (144) Bastion (181) PWEB (10) LB DNS u情報 1. NW • VCN:172.17.0.0/16 • PublicSubnet • 172.17.0.0/24 • 172.17.1.0/24 • PlibateSubnet • 172.17.10.0/24 2. DNS • LB =flb.shinpy.info • Bastion=bastion.shinpy.info • PWEB =pweb.shinpy.info 3. Routeng • PublicSubnetはNetworkFirewallを通過 するように設定 ※実画面で説明

  10. 10 Copyright © 2022 Atomitech Inc. All rights reserved. DEMO

    環境を実際に⾒てみましょう〜

  11. 11 Copyright © 2022 Atomitech Inc. All rights reserved. デモの補⾜

    uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要 uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする) ※ 構成図を書いて設計推奨!! uIDS(侵入検知)のログは「”action” : “alert”」で検出確認 uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認 ※ “reset-both”は送信元と先にRST(リセット)パケットを送信

  12. 12 Copyright © 2022 Atomitech Inc. All rights reserved. 感想

    uちょっとお高めだが、マネージドなのでそこは楽そう! • ある程度の規模、IPS/IDS必須等の要件時は良さそう ※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む • UTMをマネージドしてくれる(パッチ等が自動のはず) • SR対象範囲?であれば、サポート付きなのでお得?! u 慣れが必要 • パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。 • 直感で設定できなかったので、マニュアルやブログを活用して設定する。 ※利用料金が高いので検証もタイトにしたい u その他 • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。 • WAFとの連携でより強固なセキュリティを提供 • URLフィルター設定が上手くいかない!(宿題)

  13. Copyright © 2022 Atomitech Inc. All rights reserved. 13 We

    Are Hiring!! [email protected] 宛先:me