本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Transit Gateway 網路函數附件
您可以建立網路函數連接,將傳輸閘道直接連接到 AWS Network Firewall。這不需要建立和管理檢查 VPCs。
透過防火牆連接, AWS 會自動佈建和管理幕後所有必要的資源。您將看到新的傳輸閘道連接,而不是個別的防火牆端點。這可簡化實作集中式網路流量檢查的程序。
您必須先在其中建立附件,才能使用防火牆附件 AWS Network Firewall。如需建立附件的步驟,請參閱《 *AWS Network Firewall 開發人員指南*》中的[AWS Network Firewall 管理入門](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)。建立防火牆後,您可以在傳輸閘道主控台的附件區段下檢視**附件**。該附件將列出一種 **Network 函數**類型。
**Topics**
+ [接受或拒絕傳輸閘道網路函數連接](accept-reject-firewall-attachment.md)
+ [檢視網路函數附件](view-nf-attachment-nm.md)
+ [透過傳輸閘道網路函數連接路由流量](route-traffic-nf-attachment.md)
# 接受或拒絕 AWS Transit Gateway 網路函數連接
您可以使用 Amazon VPC 主控台或 AWS Network Firewall CLI 或 API 來接受或拒絕傳輸閘道網路函數連接,包括網路防火牆連接。如果您是傳輸閘道的擁有者,且有人從另一個帳戶建立了防火牆連接到您的傳輸閘道,則需要接受或拒絕連接請求。
若要使用 Network Firewall CLI 接受或拒絕網路函數連接,請參閱 `RejectNetworkFirewallTransitGatewayAttachment` APIs中的 `AcceptNetworkFirewallTransitGatewayAttachment`或 API。 [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html)
## 使用主控台接受或拒絕網路函數連接
使用 Amazon VPC 主控台來接受或拒絕傳輸閘道網路函數連接。
**使用主控台接受或拒絕網路函數連接**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道**。
1. 選擇**傳輸閘道附件**。
1. 選取狀態為**待接受**和**網路函數**類型的附件。
1. 選擇**動作**,然後選擇**接受附件**或拒絕**附件**。
1. 在確認對話方塊中,選擇**接受**或拒絕****。
如果您接受附件,它會變成作用中,防火牆可以檢查流量。如果您拒絕附件,它會進入拒絕狀態,最終將被刪除。
# 檢視 AWS Transit Gateway 網路函數附件
您可以使用 Amazon VPC 主控台或 Network Manager 主控台檢視網路函數附件,包括 AWS Network Firewall 附件,以取得網路拓撲的視覺化呈現。
## 使用 Network Manager 主控台檢視網路函數附件
您可以使用 Network Manager 主控台檢視網路函數附件。
**在 Network Manager 中檢視防火牆附件**
1. 在 https://[https://console.aws.amazon.com/networkmanager/home/](https://console.aws.amazon.com/networkmanager/home) 開啟 Network Manager 主控台。
1. 如果您還沒有全球網路,請在 Network Manager 中建立。
1. 向 Network Manager 註冊您的傳輸閘道。
1. 在**全域網路**下,選擇附件所在的全域網路。
1. 在導覽窗格中,選擇 **Transit gateways** (傳輸閘道)。
1. 選擇您要檢視附件的傳輸閘道。
1. 選擇**拓撲樹**狀檢視。Network Firewall 連接會顯示網路函數圖示。
1. 若要檢視特定防火牆連接的詳細資訊,請在拓撲檢視中選取傳輸閘道,然後選取**網路函數**索引標籤。
Network Manager 主控台提供防火牆連接的詳細資訊,包括其狀態、相關聯的傳輸閘道和可用區域。
## 使用 Amazon VPC 主控台檢視網路函數附件
使用 VPC 主控台查看傳輸閘道連接類型的清單。
**使用 VPC 主控台檢視傳輸閘道連接類型**
+ 請參閱[檢視 VPC 連接](view-vpc-attachment.md)。
# 透過 AWS Transit Gateway 網路函數連接路由流量
建立網路函數連接後,您需要更新傳輸閘道路由表,以使用 Amazon VPC 主控台或使用 CLI 透過防火牆傳送流量進行檢查。如需更新傳輸閘道路由表關聯的步驟,請參閱 [與傳輸閘道路由表建立關聯](associate-tgw-route-table.md)。
## 使用主控台透過防火牆連接路由流量
使用 Amazon VPC 主控台透過傳輸閘道網路函數附件路由流量。
**使用主控台透過網路函數附件路由流量**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**傳輸閘道**。
1. 選擇**傳輸閘道路由表**。
1. 選取您要修改的路由表。
1. 選擇**動作**,然後選擇**建立靜態路由**。
1. 針對 **CIDR**,輸入路由的目的地 CIDR 區塊。
1. 針對**附件**,選取網路函數附件。例如,這可能是 AWS Network Firewall 附件。
1. 選擇 **Create static route** (建立靜態路由)。
**注意**
僅支援靜態路由。
符合路由表中 CIDR 區塊的流量現在會傳送到防火牆附件進行檢查,然後再轉送到其最終目的地。
## 使用 CLI 或 API 透過網路函數附件路由流量
使用命令列或 API 來路由傳輸閘道網路函數連接。
**使用命令列或 API 透過網路函數連接路由流量**
+ 請使用 [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html)。
例如,請求可能是路由網路防火牆連接:
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
然後,輸出會傳回:
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
符合路由表中 CIDR 區塊的流量現在會傳送到防火牆附件進行檢查,然後再轉送到其最終目的地。