# Inspecionar tráfego de gateways NAT
<a name="nat-gateway-inspect-traffic"></a>

Você pode conectar o proxy do Network Firewall ao seu gateway NAT para inspecionar e filtrar o tráfego em seu gateway NAT. Esse controle de segurança permite que você evite vazamentos de dados fora do seu perímetro confiável e bloqueie qualquer resposta de entrada indesejada.

## Como funciona
<a name="nat-gateway-proxy-how-it-works"></a>

Ao criar um proxy do Network Firewall, é necessário selecionar um gateway NAT existente ao qual conectar o proxy. Depois de criado, o proxy:
+ O proxy vem com um nome de domínio totalmente qualificado e você precisa configurar suas aplicações para enviar solicitações de conexão http e https ao proxy. O proxy primeiro filtra o nome de domínio na solicitação de conexão com base nas regras inseridas pelo cliente. Se permitido pelo cliente, o proxy então faz uma consulta ao DNS para obter o endereço IP do domínio. Em seguida, ele estabelece uma conexão TCP com o destino final. Com base na habilitação da descriptografia TLS, o proxy então filtra a conexão TLS pelos atributos de endereço IP e cabeçalho e só estabelece uma conexão TLS com o destino se os atributos IP e de cabeçalho (incluindo a ação do cabeçalho e o caminho do URL) forem permitidos pelas políticas.
+ O dispositivo inspeciona e filtra o tráfego.
+ O tráfego permitido continua até o destino (na internet, no ambiente local ou em outra VPC).

## Conexão de dispositivos
<a name="nat-gateway-attaching-appliances"></a>

Os dispositivos são conectados aos gateways NAT por meio do AWS Network Firewall. Para ver as etapas de criação e conexão de dispositivos, consulte o [Guia do desenvolvedor de proxy do Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html).

## Visualização de dispositivos conectados
<a name="nat-gateway-viewing-attached-appliances"></a>

Para visualizar os dispositivos conectados ao seu gateway NAT, use o comando [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html):

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```

A resposta incluirá um campo `AttachedAppliances` que mostra:
+ **Type**: o tipo de dispositivo (por exemplo, `network-firewall-proxy`)
+ **ApplianceArn**: o ARN do dispositivo conectado
+ **AttachmentState**: status da conexão atual (`attached`, `detaching`, `detached`, `attach_failed`, `detach_failed`)
+ **ModificationState**: status da modificação atual (`modifying`, `completed`, `failed`)
+ **VpcEndpointId**: o ID do endpoint da VPC usado para rotear o tráfego das VPCs da aplicação até o proxy para inspeção e filtragem
+ **FailureCode**: o código de falha se a operação de conexão ou modificação do dispositivo tiver falhado
+ **FailureMessage**: uma mensagem descritiva explicando a falha se a operação de conexão ou modificação do dispositivo tiver falhado