本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Transit Gateway 网络功能连接
您可以创建网络功能连接,将您的重装网关直接连接至 AWS Network Firewall。这样就无需创建和管理检查 VPC。
通过防火墙连接,AWS 会在后台自动配置和管理所有必需资源。您将看到新的中转网关连接,而不是单个防火墙端点。这简化了实施集中式网络流量检查的过程。
在使用防火墙连接之前,您必须先在 AWS Network Firewall 中创建该连接。有关创建连接的步骤,请参阅*《AWS Network Firewall 开发人员指南》*中的 [AWS Network Firewall 管理入门](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)。创建防火墙连接后,您可以在 Transit Gateway 控制台的**连接**部分下查看连接。该连接将以**网络功能**类型列出。
**Topics**
+ [接受或拒绝中转网关网络功能连接](accept-reject-firewall-attachment.md)
+ [查看网络功能连接](view-nf-attachment-nm.md)
+ [通过中转网关网络功能连接来路由流量](route-traffic-nf-attachment.md)
# 接受或拒绝 Tr AWS ansit Gateway 网络功能附件
您可以使用 Amazon VPC 控制台或 AWS Network Firewall CLI 或 API 来接受或拒绝传输网关网络功能附件,包括 Network Firewall 附件。如果您是中转网关的所有者,并且有人从另一个账户向您的中转网关创建了防火墙连接,则您需要接受或拒绝连接请求。
要使用 Network Firewall CLI 接受或拒绝网络功能附件,请参阅 [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html)中的`AcceptNetworkFirewallTransitGatewayAttachment`或。
## 使用控制台来接受或拒绝网络功能连接
使用 Amazon VPC 控制台来接受或拒绝中转网关网络功能连接。
**要使用控制台来接受或拒绝网络功能连接**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateways(中转网关)**。
1. 选择**中转网关连接**。
1. 选择状态为**待接受**且类型为**网络功能**的连接。
1. 选择**操作**,然后选择**接受连接**或者**拒绝连接**。
1. 在确认对话框中,选择**接受**或**拒绝**。
如果您接受连接,它就会变为“活动”状态,并且防火墙可以检查流量。如果您拒绝连接,则该连接将进入“已拒绝”状态,最终将被删除。
# 查看 AWS 公交 Gateway 网络功能附件
您可以使用 Amazon VPC 控制台或网络管理器控制台查看您的网络功能 AWS Network Firewall 附件,包括您的附件,以直观地呈现您的网络拓扑。
## 使用 Network Manager 控制台来查看网络功能连接
您可以使用 Network Manager 控制台来查看网络功能连接。
**在 Network Manager 中查看防火墙连接**
1. 在家中打开网络管理器控制台 [https://console.aws.amazon.com/networkmanager//](https://console.aws.amazon.com/networkmanager/home)。
1. 如果您还没有全局网络,请在 Network Manager 中创建一个。
1. 使用 Network Manager 来注册您的中转网关。
1. 在**全局网络**下,选择连接所在的全局网络。
1. 在导航窗格中,选择 **Transit gateways(中转网关)**。
1. 选择您要查看连接的中转网关。
1. 选择**拓扑树**视图。Network Firewall 连接会显示网络功能图标。
1. 要查看有关特定防火墙连接的详细信息,请在“拓扑”视图中“选择中转网关”,然后选择**网络功能**选项卡。
Network Manager 控制台提供有关您防火墙连接的详细信息,包括其状态、关联中转网关和可用区。
## 使用 Amazon VPC 控制台来查看网络功能连接
使用 VPC 控制台来查看您的中转网关连接类型的列表。
**要使用 VPC 控制台来查看中转网关连接类型**
+ 请参阅[查看 VPC 连接](view-vpc-attachment.md)。
# 通过 Transi AWS t Gateway 网络功能附件路由流量
创建网络功能连接后,您需要更新您的中转网关路由表,以便使用 Amazon VPC 控制台或 CLI,通过防火墙发送流量进行检查。有关更新中转网关路由表关联的步骤,请参阅 [关联中转网关路由表](associate-tgw-route-table.md)。
## 使用控制台通过防火墙连接来路由流量
使用 Amazon VPC 控制台,通过中转网关网络功能连接来路由流量。
**要使用控制台通过网络功能连接来路由流量**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Transit Gateways(中转网关)**。
1. 选择**中转网关路由表**。
1. 选择要修改的路由表。
1. 选择**操作**,然后选择**创建静态路由**。
1. 对于 **CIDR**,请输入该路由的目标 CIDR 数据块。
1. 对于**连接**,请选择“网络功能连接”。例如,这可能是 AWS Network Firewall 附件。
1. 选择 **Create static route**(创建静态路由)。
**注意**
仅支持静态路由。
路由表中匹配该 CIDR 数据块的流量,现在将被发送到防火墙连接进行检查,然后再转发至最终目标位置。
## 使用 CLI 或 API 通过网络功能连接来路由流量
使用命令行或 API 来路由中转网关网络功能连接。
**要使用命令行或 API 通过网络功能连接来路由流量**
+ 使用 [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html)。
例如,该请求可能是路由网络防火墙连接:
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
输出随后返回:
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
路由表中匹配该 CIDR 数据块的流量,现在将被发送到防火墙连接进行检查,然后再转发至最终目标位置。