Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIJP#33_NetworkFirewall

Shinya Omori
September 06, 2022
Technology
0
320

 OCIJP#33_NetworkFirewall

OCIjp #33 夏休みの自由研究成果発表会
2022/09/06(火)19:00 〜 20:30
https://fullenergy-oci.connpass.com/event/258981/

Shinya Omori

September 06, 2022
Tweet

More Decks by Shinya Omori

See All by Shinya Omori
OCIと歩んだ2年間
shinpy
0
230
Cloudiiブログで実践するOCI
shinpy
0
40
ウェブ地図「地理院地図」with Fastly
shinpy
0
330
MySQL Database Service レビュー
shinpy
0
280
OCIJP#11_Always Free
shinpy
0
310
AWS×VPN
shinpy
0
480
AWSからOCIへの移行事例
shinpy
0
380
AWSからOCIへの移行事例 + 何か
shinpy
0
170
"AWSからOracle Cloudに移行してみました" OKE評価報告
shinpy
2
2.2k

Other Decks in Technology

See All in Technology
データマイニングと機械学習-SVM
trycycle
0
140
AWS WAFおよびWafCharmを複数サービスに導入した結果と課題
iwamot
0
190
「時系列データ」を ChatGPT で活かすには?!
soracom
PRO
0
420
CloudWatchでバレる 「君、仕事中にyo〇tube観てたよね?」
kadogen_0527
1
290
とあるQAエンジニアが、マイクロサービスの開発チームと、出会ったーー / Scrum Fest Niigata 2023
yoyakoba
0
140
How to Write Robust Python Code
hayaosuzuki
5
1.1k
ChatGPTがもたらす新しいチーム開発の現場
satoshirobatofujimoto
0
170
IaCのCI/CDを考えよう / JAWS-UG_Okayama_IaC_CICD
taishin
0
110
Search Evolution - Keeping up with the hype?
spinscale
0
120
Google I:O 2023 Androidの自動テストアップデートまとめ / Google I:O 2023 Android Testing Update Recap
tkmnzm
0
190
フルComposeでTVアプリを作った話
sasakitomohiro
0
280
競プロ作問を支える技術
tsutaj
0
240

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
119
16k
Designing for humans not robots
tammielis
245
24k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
176
9.4k
Imperfection Machines: The Place of Print at Facebook
scottboms
255
12k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
Embracing the Ebb and Flow
colly
76
3.7k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
18k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
9
5.3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k
Agile that works and the tools we love
rasmusluckow
322
20k
Done Done
chrislema
178
15k
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.6k

Transcript

  1. OCI

    Network Firewallがリリースされたら
    自由研究しない
    わけがない
    - OCIjp#33 -

    View Slide

  2. 2
    Copyright © 2022 Atomitech Inc. All rights reserved.
    ⼤森 信哉 @shinpy
    株式会社アトミテック
    クラウドサービス事業である (クラウディ)を担当
    福島県会津若松市 在住(リモート)
    インフラエンジニア、エバンジェリスト、
    営業(マーケティング) 、いろいろ
    クラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割
    好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)

    View Slide

  3. 3
    Copyright © 2022 Atomitech Inc. All rights reserved.
    @Cloudii_jp
    https://cloudii.jp/
    ハッシュタグ #Cloudii
    Cloudii Blog

    View Slide

  4. 4
    Copyright © 2022 Atomitech Inc. All rights reserved.
    今⽇のセッションは...
    🤔

    View Slide

  5. 5
    Copyright © 2022 Atomitech Inc. All rights reserved.
    夏休み⾃由研究成果発表
    〜 OCI Network Firewall 〜
    ※注意
    2022/9/6評価で確認できている範囲での想定内容となります。

    View Slide

  6. 6
    Copyright © 2022 Atomitech Inc. All rights reserved.
    Network Firewallとは1
    u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle
    Cloud Infrastructure VCNの侵入検出および防止サービス
    ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm
    1. IPS/IDSが使える!
    2. URLフィルタリング等の各フィルタリング
    3. SSL検査
    4. トラフィック検査
    UTMをマネージドで使える!!

    View Slide

  7. 7
    Copyright © 2022 Atomitech Inc. All rights reserved.
    Network Firewallとは2
    u価格 月額:約24万円 (2022/9/6時点)

    View Slide

  8. 8
    Copyright © 2022 Atomitech Inc. All rights reserved.
    Network Firewallとは3
    u参考資料 (今回検証時に参照したサイト)
    • 公式ドキュメント
    https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm
    • 公式ブログ? :OCI Network Firewall - Concepts and Deployment
    https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment
    • Youtube:Oracle Cloud Infrastructure Network Firewall Overview
    https://www.youtube.com/watch?v=AlwQQQOl5qw

    View Slide

  9. 9
    Copyright © 2022 Atomitech Inc. All rights reserved.
    検証構成
    VCN_172.17.0.0/16
    ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1
    PrivateSubnet
    172.21.10.0/24
    PublicSubnet
    172.17.1.0/24
    インターネット
    Internet
    Gateway
    NAT
    Gateway
    端末
    PublicSubnet
    172.17.0.0/24
    Network Firewall
    (254)
    WEB01
    (208)
    WEB02
    (144)
    Bastion
    (181)
    PWEB
    (10)
    LB
    DNS
    u情報
    1. NW
    • VCN:172.17.0.0/16
    • PublicSubnet
    • 172.17.0.0/24
    • 172.17.1.0/24
    • PlibateSubnet
    • 172.17.10.0/24
    2. DNS
    • LB =flb.shinpy.info
    • Bastion=bastion.shinpy.info
    • PWEB =pweb.shinpy.info
    3. Routeng
    • PublicSubnetはNetworkFirewallを通過
    するように設定
    ※実画面で説明

    View Slide

  10. 10
    Copyright © 2022 Atomitech Inc. All rights reserved.
    DEMO
    環境を実際に⾒てみましょう〜

    View Slide

  11. 11
    Copyright © 2022 Atomitech Inc. All rights reserved.
    デモの補⾜
    uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要
    uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする)
    ※ 構成図を書いて設計推奨!!
    uIDS(侵入検知)のログは「”action” : “alert”」で検出確認
    uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認
    ※ “reset-both”は送信元と先にRST(リセット)パケットを送信

    View Slide

  12. 12
    Copyright © 2022 Atomitech Inc. All rights reserved.
    感想
    uちょっとお高めだが、マネージドなのでそこは楽そう!
    • ある程度の規模、IPS/IDS必須等の要件時は良さそう
    ※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む
    • UTMをマネージドしてくれる(パッチ等が自動のはず)
    • SR対象範囲?であれば、サポート付きなのでお得?!
    u 慣れが必要
    • パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。
    • 直感で設定できなかったので、マニュアルやブログを活用して設定する。
    ※利用料金が高いので検証もタイトにしたい
    u その他
    • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。
    • WAFとの連携でより強固なセキュリティを提供
    • URLフィルター設定が上手くいかない!(宿題)

    View Slide

  13. Copyright © 2022 Atomitech Inc. All rights reserved. 13
    We Are Hiring!!
    [email protected]
    宛先:me

    View Slide