$30 off During Our Annual Pro Sale. View Details »

OCIJP#33_NetworkFirewall

Shinya Omori
September 06, 2022

 OCIJP#33_NetworkFirewall

OCIjp #33 夏休みの自由研究成果発表会
2022/09/06(火)19:00 〜 20:30
https://fullenergy-oci.connpass.com/event/258981/

Shinya Omori

September 06, 2022
Tweet

More Decks by Shinya Omori

Other Decks in Technology

Transcript

  1. OCI

    Network Firewallがリリースされたら
    自由研究しない
    わけがない
    - OCIjp#33 -

    View Slide

  2. 2
    Copyright © 2022 Atomitech Inc. All rights reserved.
    ⼤森 信哉 @shinpy
    株式会社アトミテック
    クラウドサービス事業である (クラウディ)を担当
    福島県会津若松市 在住(リモート)
    インフラエンジニア、エバンジェリスト、
    営業(マーケティング) 、いろいろ
    クラウド案件:OCI 7割、AWS 1割、Azure 1割、他1割
    好きなOCIサービス:DRG(だいなみっくるーてぃんぐげーとうぇい)

    View Slide

  3. 3
    Copyright © 2022 Atomitech Inc. All rights reserved.
    @Cloudii_jp
    https://cloudii.jp/
    ハッシュタグ #Cloudii
    Cloudii Blog

    View Slide

  4. 4
    Copyright © 2022 Atomitech Inc. All rights reserved.
    今⽇のセッションは...
    🤔

    View Slide

  5. 5
    Copyright © 2022 Atomitech Inc. All rights reserved.
    夏休み⾃由研究成果発表
    〜 OCI Network Firewall 〜
    ※注意
    2022/9/6評価で確認できている範囲での想定内容となります。

    View Slide

  6. 6
    Copyright © 2022 Atomitech Inc. All rights reserved.
    Network Firewallとは1
    u次世代の管理対象ネットワーク・ファイアウォールで、Palo Alto Networks®を搭載したOracle
    Cloud Infrastructure VCNの侵入検出および防止サービス
    ※参照= https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm
    1. IPS/IDSが使える!
    2. URLフィルタリング等の各フィルタリング
    3. SSL検査
    4. トラフィック検査
    UTMをマネージドで使える!!

    View Slide

  7. 7
    Copyright © 2022 Atomitech Inc. All rights reserved.
    Network Firewallとは2
    u価格 月額:約24万円 (2022/9/6時点)

    View Slide

  8. 8
    Copyright © 2022 Atomitech Inc. All rights reserved.
    Network Firewallとは3
    u参考資料 (今回検証時に参照したサイト)
    • 公式ドキュメント
    https://docs.oracle.com/ja-jp/iaas/Content/network-firewall/overview.htm
    • 公式ブログ? :OCI Network Firewall - Concepts and Deployment
    https://www.ateam-oracle.com/post/oci-network-firewall---concepts-and-deployment
    • Youtube:Oracle Cloud Infrastructure Network Firewall Overview
    https://www.youtube.com/watch?v=AlwQQQOl5qw

    View Slide

  9. 9
    Copyright © 2022 Atomitech Inc. All rights reserved.
    検証構成
    VCN_172.17.0.0/16
    ORACLE CLOUD INFRASTRUCTURE (ap-Tokyo-1) & AD1
    PrivateSubnet
    172.21.10.0/24
    PublicSubnet
    172.17.1.0/24
    インターネット
    Internet
    Gateway
    NAT
    Gateway
    端末
    PublicSubnet
    172.17.0.0/24
    Network Firewall
    (254)
    WEB01
    (208)
    WEB02
    (144)
    Bastion
    (181)
    PWEB
    (10)
    LB
    DNS
    u情報
    1. NW
    • VCN:172.17.0.0/16
    • PublicSubnet
    • 172.17.0.0/24
    • 172.17.1.0/24
    • PlibateSubnet
    • 172.17.10.0/24
    2. DNS
    • LB =flb.shinpy.info
    • Bastion=bastion.shinpy.info
    • PWEB =pweb.shinpy.info
    3. Routeng
    • PublicSubnetはNetworkFirewallを通過
    するように設定
    ※実画面で説明

    View Slide

  10. 10
    Copyright © 2022 Atomitech Inc. All rights reserved.
    DEMO
    環境を実際に⾒てみましょう〜

    View Slide

  11. 11
    Copyright © 2022 Atomitech Inc. All rights reserved.
    デモの補⾜
    uIGW(インターネット・ゲートウェイ)に「ルート表の関連付け」が必要
    uルート表で、プライベートIP指定のルーティング設定が必要(ターゲットをNFWにする)
    ※ 構成図を書いて設計推奨!!
    uIDS(侵入検知)のログは「”action” : “alert”」で検出確認
    uIPS(侵入防御)のログは「 ”action” : “reset-both”」や「 ”action” : “drop”」で防御確認
    ※ “reset-both”は送信元と先にRST(リセット)パケットを送信

    View Slide

  12. 12
    Copyright © 2022 Atomitech Inc. All rights reserved.
    感想
    uちょっとお高めだが、マネージドなのでそこは楽そう!
    • ある程度の規模、IPS/IDS必須等の要件時は良さそう
    ※ フロントにあるサーバ(VM)全てにIPS/IDSを搭載したソフトを導入するより1台で済む
    • UTMをマネージドしてくれる(パッチ等が自動のはず)
    • SR対象範囲?であれば、サポート付きなのでお得?!
    u 慣れが必要
    • パロアルト製品に慣れている方は吸収しやすい?!(私はFortiGateがいい。。。
    • 直感で設定できなかったので、マニュアルやブログを活用して設定する。
    ※利用料金が高いので検証もタイトにしたい
    u その他
    • 既存のOCI環境への導入は敷居が高い → ルーティング設定変更するので。。。
    • WAFとの連携でより強固なセキュリティを提供
    • URLフィルター設定が上手くいかない!(宿題)

    View Slide

  13. Copyright © 2022 Atomitech Inc. All rights reserved. 13
    We Are Hiring!!
    [email protected]
    宛先:me

    View Slide