检查来自 NAT 网关的流量
您可以将 Network Firewall 代理挂载到 NAT 网关,来检查和筛选 NAT 网关上的流量。此安全控制有助您防止数据泄露到可信边界之外,以及阻止任何不需要的入站响应。
工作原理
创建 Network Firewall 代理时,您需要选择要挂载该代理的现有 NAT 网关。创建该代理后:
-
该代理将具有一个完全限定域名,并且您需要将应用程序设置为将 http 和 https 连接请求发送到该代理。该代理会首先根据客户输入的规则筛选连接请求中的域名。如果客户允许,该代理随后会进行 DNS 查询以获取该域的 IP 地址。然后,该代理将与最终目标建立 TCP 连接。代理随后会根据是否启用了 TLS 解密,按 IP 地址和标头属性筛选 TLS 连接,并且仅在策略允许 IP 和标头属性(包括标头操作和 url 路径)的情况下,才与目标建立 TLS 连接。
-
设备会检查和筛选流量。
-
允许的流量会继续到达目标(在互联网、本地环境或其他 VPC 中)。
挂载设备
设备通过 AWS Network Firewall 挂载到 NAT 网关。有关创建和挂载设备的步骤,请参阅 Network Firewall 代理开发人员指南。
查看挂载的设备
要查看挂载到 NAT 网关的设备,请使用 describe-nat-gateways 命令:
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
响应将包括 AttachedAppliances 字段,其中会显示下列信息:
-
Type:设备类型(例如
network-firewall-proxy) -
ApplianceArn:所挂载设备的 ARN
-
AttachmentState:当前挂载状态(
attached、detaching、detached、attach_failed、detach_failed) -
ModificationState:当前修改状态(
modifying、completed、failed) -
VpcEndpointId:用于将流量从应用程序 VPC 路由到该代理以进行检查和筛选的 VPC 端点 ID
-
FailureCode:设备挂载或修改操作失败时的故障代码
-
FailureMessage:解释设备挂载或修改操作失败时所发生故障的解释性消息
