Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCIJP#33_NetworkFirewall

Shinya Omori
September 06, 2022
Technology
0
550

 OCIJP#33_NetworkFirewall

OCIjp #33 夏休みの自由研究成果発表会
2022/09/06(火)19:00 〜 20:30
https://fullenergy-oci.connpass.com/event/258981/

Shinya Omori

September 06, 2022
Tweet

More Decks by Shinya Omori

See All by Shinya Omori
AWS案件で得たナレッジ紹介_20240920
shinpy
0
65
OCI Cloud Native アーキテクチャ from 他社クラウド_移行の秘訣
shinpy
0
190
Oracle Cloud Infrastructure Advent Calendar 2023 - Cloudii -
shinpy
0
200
OCIと歩んだ2年間
shinpy
0
410
Cloudiiブログで実践するOCI
shinpy
0
56
ウェブ地図「地理院地図」with Fastly
shinpy
0
410
MySQL Database Service レビュー
shinpy
0
410
OCIJP#11_Always Free
shinpy
0
380
AWS×VPN
shinpy
0
690

Other Decks in Technology

See All in Technology
アジャイル脅威モデリング#1(脅威モデリングナイト#8)
masakane55
3
230
Goの組織でバックエンドTypeScriptを採用してどうだったか / How was adopting backend TypeScript in a Golang company
kaminashi
6
6.8k
AIでめっちゃ便利になったけど、結局みんなで学ぶよねっていう話
kakehashi
PRO
0
280
Cursor AgentによるパーソナルAIアシスタント育成入門―業務のプロンプト化・MCPの活用
os1ma
14
4.9k
SmartHR プロダクトエンジニア求人ガイド_2025 / PdE job guide 2025
smarthr
0
130
勝手に!深堀り!Cloud Run worker pools / Deep dive Cloud Run worker pools
iselegant
2
460
AWSのマルチアカウント管理 ベストプラクティス最新版 2025 / Multi-Account management on AWS best practice 2025
ohmura
4
310
更新系と状態
uhyo
7
1.7k
バックオフィス向け toB SaaS バクラクにおけるレコメンド技術活用 / recommender-systems-in-layerx-bakuraku
yuya4
6
560
Terraform Cloudで始めるおひとりさまOrganizationsのすゝめ
handy
2
180
クラウド開発環境Cloud Workstationsの紹介
yunosukey
0
190
彩の国で始めよう。おっさんエンジニアから共有したい、当たり前のことを当たり前にする技術
otsuki
0
150

Featured

See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
268
20k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Optimizing for Happiness
mojombo
377
70k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
12k
Fireside Chat
paigeccino
37
3.4k
The Cult of Friendly URLs
andyhume
78
6.3k
Into the Great Unknown - MozCon
thekraken
37
1.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
A Tale of Four Properties
chriscoyier
158
23k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Raft: Consensus for Rubyists
vanstee
137
6.9k

Transcript

  1. OCI で Network Firewallがリリースされたら 自由研究しない わけがない - OCIjp#33 -

  2. 2 Copyright © 2022 Atomitech Inc. All rights reserved. ⼤森

    信哉 @shinpy 株式会社アトミテック クラウドサービス事業である (クラウディ)を担当 福島県会津若松市 在住(リモート) インフラエンジニア、エバンジェリスト、 営業(マーケティング) 、いろいろ クラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割 好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)

  3. 3 Copyright © 2022 Atomitech Inc. All rights reserved. @Cloudii_jp

    https://cloudii.jp/ ハッシュタグ #Cloudii Cloudii Blog

  4. 4 Copyright © 2022 Atomitech Inc. All rights reserved. 今⽇のセッションは...

    🤔

  5. 5 Copyright © 2022 Atomitech Inc. All rights reserved. 夏休み⾃由研究成果発表

    〜 OCI Network Firewall 〜 ※注意 2022/9/6評価で確認できている範囲での想定内容となります。

  6. 6 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは1 u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle Cloud Infrastructure VCNの侵入検出および防止サービス ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm 1. IPS/IDSが使える! 2. URLフィルタリング等の各フィルタリング 3. SSL検査 4. トラフィック検査 UTMをマネージドで使える!!

  7. 7 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは2 u価格 月額:約24万円 (2022/9/6時点)

  8. 8 Copyright © 2022 Atomitech Inc. All rights reserved. Network

    Firewallとは3 u参考資料 (今回検証時に参照したサイト) • 公式ドキュメント https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm • 公式ブログ? :OCI Network Firewall - Concepts and Deployment https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment • Youtube:Oracle Cloud Infrastructure Network Firewall Overview https://www.youtube.com/watch?v=AlwQQQOl5qw

  9. 9 Copyright © 2022 Atomitech Inc. All rights reserved. 検証構成

    VCN_172.17.0.0/16 ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1 PrivateSubnet 172.21.10.0/24 PublicSubnet 172.17.1.0/24 インターネット Internet Gateway NAT Gateway 端末 PublicSubnet 172.17.0.0/24 Network Firewall (254) WEB01 (208) WEB02 (144) Bastion (181) PWEB (10) LB DNS u情報 1. NW • VCN:172.17.0.0/16 • PublicSubnet • 172.17.0.0/24 • 172.17.1.0/24 • PlibateSubnet • 172.17.10.0/24 2. DNS • LB =flb.shinpy.info • Bastion=bastion.shinpy.info • PWEB =pweb.shinpy.info 3. Routeng • PublicSubnetはNetworkFirewallを通過 するように設定 ※実画面で説明

  10. 10 Copyright © 2022 Atomitech Inc. All rights reserved. DEMO

    環境を実際に⾒てみましょう〜

  11. 11 Copyright © 2022 Atomitech Inc. All rights reserved. デモの補⾜

    uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要 uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする) ※ 構成図を書いて設計推奨!! uIDS(侵入検知)のログは「”action” : “alert”」で検出確認 uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認 ※ “reset-both”は送信元と先にRST(リセット)パケットを送信

  12. 12 Copyright © 2022 Atomitech Inc. All rights reserved. 感想

    uちょっとお高めだが、マネージドなのでそこは楽そう! • ある程度の規模、IPS/IDS必須等の要件時は良さそう ※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む • UTMをマネージドしてくれる(パッチ等が自動のはず) • SR対象範囲?であれば、サポート付きなのでお得?! u 慣れが必要 • パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。 • 直感で設定できなかったので、マニュアルやブログを活用して設定する。 ※利用料金が高いので検証もタイトにしたい u その他 • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。 • WAFとの連携でより強固なセキュリティを提供 • URLフィルター設定が上手くいかない!(宿題)

  13. Copyright © 2022 Atomitech Inc. All rights reserved. 13 We

    Are Hiring!! [email protected] 宛先:me