本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 檢查來自 NAT 閘道的流量
<a name="nat-gateway-inspect-traffic"></a>

您可以將 Network Firewall Proxy 連接至 NAT Gateway，以檢查和篩選 NAT Gateway 上的流量。此安全控制可讓您防止資料在信任的周邊外洩漏，並封鎖任何不需要的傳入回應。

## 運作方式
<a name="nat-gateway-proxy-how-it-works"></a>

建立 Network Firewall Proxy 時，您必須選取要連接 Proxy 的現有 NAT Gateway。建立之後，代理：
+ Proxy 隨附完整網域名稱，您需要將應用程式設定為將 http 和 https 連線請求傳送至 Proxy。代理會先根據客戶輸入的規則，篩選連線請求中的網域名稱。如果客戶允許，代理會進行 DNS 查詢以取得網域的 IP 地址。然後，它建立了與最終目的地的 TCP 連線。根據是否啟用 TLS 解密，代理接著會篩選 IP 地址和標頭屬性上的 TLS 連線，並且只有在政策允許 IP 和標頭屬性 （包括標頭動作和 URL 路徑） 時，才會建立與目的地的 TLS 連線。
+ 設備會檢查和篩選流量。
+ 允許流量繼續流向目的地 （在網際網路或內部部署環境或其他 VPC 中）。

## 連接設備
<a name="nat-gateway-attaching-appliances"></a>

設備會透過 AWS Network Firewall 連接到 NAT Gateway。如需建立和連接設備的步驟，請參閱 [Network Firewall Proxy 開發人員指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html)。

## 檢視連接的設備
<a name="nat-gateway-viewing-attached-appliances"></a>

若要檢視連接至 NAT Gateway 的設備，請使用 [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) 命令：

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```

回應包含顯示下列項目`AttachedAppliances`的欄位：
+ **類型** – 設備類型 （例如 `network-firewall-proxy`)
+ **ApplianceArn** – 連接的設備的 ARN
+ **AttachmentState** – 目前的連接狀態 (`attached`、`detaching`、`detached`、`attach_failed`、`detach_failed`)
+ **ModificationState** – 目前的修改狀態 (`modifying`、`completed`、`failed`)
+ **VpcEndpointId** – 用來將流量從應用程式 VPC 路由到代理以進行檢查和篩選VPCs 端點 ID
+ **FailureCode** – 設備連接或修改操作失敗時的失敗代碼
+ **FailureMessage** – 如果設備連接或修改操作失敗，說明失敗的描述性訊息