本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢查來自 NAT 閘道的流量
您可以將 Network Firewall Proxy 連接至 NAT Gateway,以檢查和篩選 NAT Gateway 上的流量。此安全控制可讓您防止資料在信任的周邊外洩漏,並封鎖任何不需要的傳入回應。
運作方式
建立 Network Firewall Proxy 時,您必須選取要連接 Proxy 的現有 NAT Gateway。建立之後,代理:
-
Proxy 隨附完整網域名稱,您需要將應用程式設定為將 http 和 https 連線請求傳送至 Proxy。代理會先根據客戶輸入的規則,篩選連線請求中的網域名稱。如果客戶允許,代理會進行 DNS 查詢以取得網域的 IP 地址。然後,它建立了與最終目的地的 TCP 連線。根據是否啟用 TLS 解密,代理接著會篩選 IP 地址和標頭屬性上的 TLS 連線,並且只有在政策允許 IP 和標頭屬性 (包括標頭動作和 URL 路徑) 時,才會建立與目的地的 TLS 連線。
-
設備會檢查和篩選流量。
-
允許流量繼續流向目的地 (在網際網路或內部部署環境或其他 VPC 中)。
連接設備
設備會透過 AWS Network Firewall 連接到 NAT Gateway。如需建立和連接設備的步驟,請參閱 Network Firewall Proxy 開發人員指南。
檢視連接的設備
若要檢視連接至 NAT Gateway 的設備,請使用 describe-nat-gateways 命令:
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
回應包含顯示下列項目AttachedAppliances的欄位:
-
類型 – 設備類型 (例如
network-firewall-proxy) -
ApplianceArn – 連接的設備的 ARN
-
AttachmentState – 目前的連接狀態 (
attached、detaching、detached、attach_failed、detach_failed) -
ModificationState – 目前的修改狀態 (
modifying、completed、failed) -
VpcEndpointId – 用來將流量從應用程式 VPC 路由到代理以進行檢查和篩選VPCs 端點 ID
-
FailureCode – 設備連接或修改操作失敗時的失敗代碼
-
FailureMessage – 如果設備連接或修改操作失敗,說明失敗的描述性訊息
