本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用第三方设备进行集中入库检查
<a name="centralized-inspection-third-party"></a>

在这种架构设计模式中，您可以在 Amazon EC2 上跨弹性负载均衡器 (ELB) 后面的多个可用区部署第三方防火墙设备，例如单独检查 VPC 中的 Application/Network 负载均衡器。

检查 VPC 和其他分支 VPCs 通过 Transit Gateway 作为 VPC 附件连接在一起。Spoke 中的应用程序 VPCs 是内部 ELB 的前端，内部 ELB 可以是 ALB 或 NLB，具体取决于应用程序类型。通过互联网的客户端连接到检查 VPC 中外部 ELB 的 DNS，后者将流量路由到其中一个防火墙设备。防火墙检查流量，然后使用内部 ELB 的 DNS 通过 Transit Gateway 将流量路由到分支 VPC，如下图所示。有关使用第三方设备进行入站安全检查的更多信息，请参阅[如何将第三方防火墙设备集成到 AWS 环境](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/)中的博客文章。

![\[描绘使用第三方设备和 ELB 进行集中入口流量检查的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)


## 优点
<a name="advantages-22"></a>
+ 该架构可以支持任何类型的应用程序进行检查，并支持通过第三方防火墙设备提供的高级检查功能。
+ 此模式支持从防火墙设备到分支的基于 DNS 的路由 VPCs，这允许 Spok VPCs e 中的应用程序在 ELB 后独立扩展。
+ 您可以使用 Auto Scaling 和 ELB 来扩展检查 VPC 中的防火墙设备。

## 重要注意事项
<a name="key-considerations-52"></a>
+ 您需要跨可用区部署多个防火墙设备以实现高可用性。
+ 为了保持流量对称性，需要配置防火墙并执行源 NAT，这意味着应用程序无法看到客户端 IP 地址。
+ 考虑在网络服务账户中部署 Transit Gateway 和 Inspection VPC。
+ 额外的第三方供应商防火墙 licensing/support 成本。Amazon EC2 费用取决于实例类型。