本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在重新託管遷移至 期間建立防火牆請求的核准程序 AWS
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws"></a>

*Srikanth Rangavajhala，Amazon Web Services*

## 摘要
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-summary"></a>

如果您想要在 上使用 [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)或 [Cloud Migration Factory AWS](https://aws.amazon.com/solutions/implementations/cloud-migration-factory-on-aws/) 來重新託管遷移至 AWS 雲端，其中一個先決條件是您必須保持 TCP 連接埠 443 和 1500 開啟。一般而言，開啟這些防火牆連接埠需要您的資訊安全 (InfoSec) 團隊核准。

此模式概述在重新託管遷移至 期間，從 InfoSec 團隊取得防火牆請求核准的程序 AWS 雲端。您可以使用此程序來避免 InfoSec 團隊拒絕您的防火牆請求，這會變得昂貴且耗時。防火牆請求程序在 AWS 遷移顧問和主管之間有兩個審核和核准步驟，這些人員會與您的 InfoSec 和應用程式團隊合作以開啟防火牆連接埠。

此模式假設您正在規劃與 AWS 顧問或組織中的遷移專家進行重新託管遷移。如果您的組織沒有防火牆核准程序或防火牆請求空白核准表單，您可以使用此模式。如需詳細資訊，請參閱此模式*的限制*一節。如需 Application Migration Service 網路需求的詳細資訊，請參閱 Application Migration Service 文件中的[網路需求](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html)。

## 先決條件和限制
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-prereqs"></a>

**先決條件**
+ 與您組織的 AWS 顧問或遷移專家進行規劃的重新託管遷移
+ 遷移堆疊所需的連接埠和 IP 資訊
+ 現有和未來的狀態架構圖
+ 有關內部部署和目的地基礎設施、連接埠和zone-to-zone流量流程的防火牆資訊
+ 防火牆請求檢閱檢查清單 （已連接）
+ 防火牆請求文件，根據您組織的需求進行設定
+ 防火牆檢閱者和核准者的聯絡人清單，包括下列角色：
  + **防火牆請求提交者** – AWS 遷移專家或顧問。防火牆請求提交者也可以是您組織的遷移專家。
  + **防火牆請求檢閱者** – 一般而言，這是來自 的單一聯絡點 (SPOC) AWS。
  + **防火牆請求核准者** – InfoSec 團隊成員。

**限制**
+ 此模式說明一般防火牆請求核准程序。個別組織的需求可能有所不同。
+ 請務必追蹤防火牆請求文件的變更。

下表顯示此模式的使用案例。


| 
| 
| 您的組織是否具有現有的防火牆核准程序？ | 您的組織是否有現有的防火牆請求表單？  | 建議動作 | 
| --- |--- |--- |
| 是 | 是 | 與 AWS 顧問或遷移專家合作，以實作組織的程序。 | 
| 否 | 是 | 使用此模式的防火牆核准程序。使用您組織的 AWS 顧問或遷移專家來提交防火牆請求括號核准表單。 | 
| 否 | 否 | 使用此模式的防火牆核准程序。使用您組織的 AWS 顧問或遷移專家來提交防火牆請求括號核准表單。 | 

## Architecture
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-architecture"></a>

下圖顯示防火牆請求核准程序的步驟。

![\[在重新託管遷移至 AWS 雲端期間，由 InfoSec 團隊進行防火牆請求核准的程序。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/cf9b58ad-ab6f-43d3-92da-968529c8d042/images/c672f7ce-6e9f-4dbc-bf2c-4272a6c4432b.png)


## 工具
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-tools"></a>

您可以使用 [Palo Alto Networks](https://www.paloaltonetworks.com/) 或 [SolarWinds](https://www.solarwinds.com/) 等掃描器工具來分析和驗證防火牆和 IP 地址。

## 史詩
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-epics"></a>

### 分析防火牆請求
<a name="analyze-the-firewall-request"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 分析連接埠和 IP 地址。 | 防火牆請求提交者完成初始分析，以了解所需的防火牆連接埠和 IP 地址。完成後，他們會請求您的 InfoSec 團隊開啟所需的連接埠並映射 IP 地址。 | AWS 雲端工程師、遷移專家 | 

### 驗證防火牆請求
<a name="validate-the-firewall-request"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 驗證防火牆資訊。 |  AWS 雲端 工程師會與您的 InfoSec 團隊安排會議。在此會議期間，工程師會檢查並驗證防火牆請求資訊。一般而言，防火牆請求提交者與防火牆請求者是同一個人。如果觀察到或建議任何項目，此驗證階段可能會根據核准者提供的意見回饋而變得反覆。 | AWS 雲端工程師、遷移專家 | 
| 更新防火牆請求文件。 | 在 InfoSec 團隊分享其意見回饋後，防火牆請求文件會編輯、儲存和重新上傳。本文件會在每次反覆運算後更新。我們建議您將此文件存放在版本控制的儲存資料夾中。這表示會追蹤並正確套用所有變更。 | AWS 雲端工程師、遷移專家 | 

### 提交防火牆請求
<a name="submit-the-firewall-request"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 提交防火牆請求。 | 在防火牆請求核准者核准防火牆空白核准請求之後， AWS 雲端 工程師會提交防火牆請求。請求會指定必須開放的連接埠，以及映射和更新 所需的 IP 地址 AWS 帳戶。您可以在提交防火牆請求後提出建議或提供意見回饋。我們建議您自動化此意見回饋程序，並透過定義的工作流程機制傳送任何編輯。  | AWS 雲端工程師、遷移專家 | 

## 附件
<a name="attachments-cf9b58ad-ab6f-43d3-92da-968529c8d042"></a>

若要存取與本文件相關聯的其他內容，請解壓縮下列檔案： [attachment.zip](samples/p-attach/cf9b58ad-ab6f-43d3-92da-968529c8d042/attachments/attachment.zip)