本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS Network Firewall 进行集中式入口
<a name="using-network-firewall-for-centralized-ingress"></a>

在此架构中，入口流量在到达其余部分 AWS Network Firewall 之前要经过检查。 VPCs在此设置中，流量在 Edge VPC 中部署的所有防火墙端点之间进行分配。您可以在防火墙终端节点和 Transit Gateway 子网之间部署公有子网。你可以使用 ALB 或 NLB，它们在辐条中包含 IP 目标， VPCs 同时为其后面的目标处理 Auto Scaling。

![\[描绘使用 AWS Network Firewall 进行入口流量检查的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)


 为了简化此模型 AWS Network Firewall 中的部署和管理， AWS Firewall Manager 可以使用。Firewall Manager 允许您通过自动将您在集中位置创建的保护应用于多个帐户来集中管理不同的防火墙。Firewall Manager 支持网络防火墙的分布式和集中式部署模式。博客文章《[如何使用 AWS Network Firewall 进行部署](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/)》 AWS Firewall Manager提供了有关模型的更多详细信息。

## 使用深度数据包检测 (DPI) AWS Network Firewall
<a name="deep-packet-inspection-with-network-firewall"></a>

 Network Firewall 可以对入口流量执行深度包检测 (DPI)。使用存储在 (ACM) 中的 AWS Certificate Manager 传输层安全 (TLS) 证书，Network Firewall 可以解密数据包、执行 DPI 和重新加密数据包。使用 Network Firewall 设置 DPI 需要考虑一些注意事项。首先，必须将可信的 TLS 证书存储在 ACM 中。其次，必须将 Network Firewall 规则配置为正确发送数据包进行解密和重新加密。有关更多详细信息，请参阅博客文章[加密流量的 TLS 检查配置](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/)。 AWS Network Firewall

## 集中式入口 AWS Network Firewall 架构中的关键注意事项
<a name="key-considerations-66"></a>
+ 边缘 VPC 中的 Elastic Load Balancing 只能将 IP 地址作为目标类型，而不是主机名。在上图中，目标是分支中网络负载均衡 IPs 器的私有目标 VPCs。在边缘 VPC 中使用 ELB 后面的 IP 目标会导致 Auto Scaling 丢失。
+ 考虑 AWS Firewall Manager 将其用作防火墙端点的单一管理面板。
+ 这种部署模式在进入边缘 VPC 时直接使用流量检查，因此有可能降低检查架构的总体成本。