As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando o AWS Network Firewall para entrada centralizada
<a name="using-network-firewall-for-centralized-ingress"></a>

Nessa arquitetura, o tráfego de entrada é inspecionado AWS Network Firewall antes de chegar ao resto do. VPCs Nessa configuração, o tráfego é dividido entre todos os endpoints de firewall implantados no Edge VPC. Você implanta uma sub-rede pública entre o endpoint do firewall e a sub-rede do Transit Gateway. Você pode usar um ALB ou NLB, que contêm alvos IP em seu raio e, VPCs ao mesmo tempo, manipular o Auto Scaling para alvos atrás deles.

![\[Um diagrama que descreve a inspeção do tráfego de entrada usando o AWS Network Firewall\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)


 Para simplificar a implantação e o gerenciamento deste AWS Network Firewall modelo, AWS Firewall Manager pode ser usado. O Firewall Manager permite que você administre centralmente seus diferentes firewalls aplicando automaticamente a proteção que você cria no local centralizado a várias contas. O Firewall Manager oferece suporte a modelos de implantação distribuídos e centralizados para o Firewall de Rede. A postagem do blog [Como implantar AWS Network Firewall usando AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) fornece mais detalhes sobre o modelo. 

## Inspeção profunda de pacotes (DPI) com AWS Network Firewall
<a name="deep-packet-inspection-with-network-firewall"></a>

 O Network Firewall pode realizar uma inspeção profunda de pacotes (DPI) no tráfego de entrada. Usando um certificado TLS (Transport Layer Security) armazenado no AWS Certificate Manager (ACM), o Network Firewall pode descriptografar pacotes, executar DPI e recriptografar pacotes. Há algumas considerações para configurar o DPI com o Network Firewall. Primeiro, um certificado TLS confiável deve ser armazenado no ACM. Segundo, as regras do Firewall de Rede devem ser configuradas para enviar pacotes corretamente para decodificação e recriptografia. Consulte a postagem do blog [Configuração de inspeção TLS para tráfego criptografado e AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) para obter mais detalhes. 

## Principais considerações AWS Network Firewall em uma arquitetura de entrada centralizada
<a name="key-considerations-66"></a>
+ O Elastic Load Balancing no Edge VPC só pode ter endereços IP como tipos de destino, não um nome de host. Na figura anterior, os alvos são a privacidade IPs do Network Load Balancer em fala. VPCs Usar alvos IP por trás do ELB na VPC de borda resulta na perda do Auto Scaling.
+ Considere o uso AWS Firewall Manager como um único painel de vidro para seus endpoints de firewall.
+ Esse modelo de implantação usa a inspeção de tráfego logo que entra na VPC de borda, portanto, tem o potencial de reduzir o custo geral de sua arquitetura de inspeção.