# 检查来自 NAT 网关的流量
<a name="nat-gateway-inspect-traffic"></a>

您可以将 Network Firewall 代理挂载到 NAT 网关，来检查和筛选 NAT 网关上的流量。此安全控制有助您防止数据泄露到可信边界之外，以及阻止任何不需要的入站响应。

## 工作原理
<a name="nat-gateway-proxy-how-it-works"></a>

创建 Network Firewall 代理时，您需要选择要挂载该代理的现有 NAT 网关。创建该代理后：
+ 该代理将具有一个完全限定域名，并且您需要将应用程序设置为将 http 和 https 连接请求发送到该代理。该代理会首先根据客户输入的规则筛选连接请求中的域名。如果客户允许，该代理随后会进行 DNS 查询以获取该域的 IP 地址。然后，该代理将与最终目标建立 TCP 连接。代理随后会根据是否启用了 TLS 解密，按 IP 地址和标头属性筛选 TLS 连接，并且仅在策略允许 IP 和标头属性（包括标头操作和 url 路径）的情况下，才与目标建立 TLS 连接。
+ 设备会检查和筛选流量。
+ 允许的流量会继续到达目标（在互联网、本地环境或其他 VPC 中）。

## 挂载设备
<a name="nat-gateway-attaching-appliances"></a>

设备通过 AWS Network Firewall 挂载到 NAT 网关。有关创建和挂载设备的步骤，请参阅 [Network Firewall 代理开发人员指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html)。

## 查看挂载的设备
<a name="nat-gateway-viewing-attached-appliances"></a>

要查看挂载到 NAT 网关的设备，请使用 [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) 命令：

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```

响应将包括 `AttachedAppliances` 字段，其中会显示下列信息：
+ **Type**：设备类型（例如 `network-firewall-proxy`）
+ **ApplianceArn**：所挂载设备的 ARN
+ **AttachmentState**：当前挂载状态（`attached`、`detaching`、`detached`、`attach_failed`、`detach_failed`）
+ **ModificationState**：当前修改状态（`modifying`、`completed`、`failed`）
+ **VpcEndpointId**：用于将流量从应用程序 VPC 路由到该代理以进行检查和筛选的 VPC 端点 ID
+ **FailureCode**：设备挂载或修改操作失败时的故障代码
+ **FailureMessage**：解释设备挂载或修改操作失败时所发生故障的解释性消息