本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 集中式傳入檢查
<a name="centralized-inbound-inspection"></a>

面向網際網路的應用程式本質上具有較大的攻擊面，並且暴露於大多數其他類型的應用程式不需要面對的威脅類別。擁有對這些類型應用程式進行攻擊的必要保護，並將影響表面積降至最低，是任何安全策略的核心部分。

當您在登陸區域中部署應用程式時，使用者將透過公有網際網路 （例如，透過內容交付網路 (CDN)，或透過面向公有的 Web 應用程式），透過面向公有的負載平衡器、API 閘道或直接透過網際網路閘道存取許多應用程式。在這種情況下，您可以使用 AWS Web Application Firewall (AWS WAF) 進行傳入應用程式檢查，或使用 Gateway Load Balancer 或 進行 IDS/IPS 傳入檢查，來保護工作負載和應用程式 AWS Network Firewall。

當您繼續在登陸區域中部署應用程式時，您可能需要檢查傳入網際網路流量。您可以使用執行第三方防火牆設備的 Gateway Load Balancer，或透過使用開放原始碼 Suricata 規則 AWS Network Firewall 搭配進階 DPI 和 IDS/IPS 功能，以多種方式使用分散式、集中式或合併的檢查架構。本節涵蓋 Gateway Load Balancer 和 AWS Network Firewall 集中式部署，使用 AWS Transit Gateway 做為路由流量的中央中樞。

## AWS WAF 和 AWS Firewall Manager 用於檢查來自網際網路的傳入流量
<a name="waf-and-firewall-manager"></a>

AWS WAF 是一種 Web 應用程式防火牆，可協助保護您的 Web 應用程式或 APIs 不受可能影響可用性、危及安全性或消耗過多資源的常見 Web 入侵和機器人影響。可讓您建立安全規則來控制流量到達應用程式 AWS WAF 的方式，以控制機器人流量並封鎖常見的攻擊模式，例如 SQL Injection 或跨網站指令碼 (XSS)。您也可以自訂篩選出特定流量模式的規則。

您可以在 Amazon CloudFront AWS WAF 上部署 做為 CDN 解決方案的一部分、面向 Web 伺服器的 Application Load Balancer、適用於 REST APIs Amazon API Gateway，或 AWS AppSync 適用於 GraphQL APIs。

部署之後 AWS WAF，您可以使用視覺化規則建置器、JSON 中的程式碼、由 維護的受管規則，或是從 訂閱第三方規則 AWS，來建立自己的流量篩選規則 AWS Marketplace。這些規則可以透過根據指定的模式評估流量來篩選掉不需要的流量。您可以進一步使用 Amazon CloudWatch 來監控傳入流量指標和記錄。

若要集中管理 中的所有帳戶和應用程式 AWS Organizations，您可以使用 AWS Firewall Manager。 AWS Firewall Manager 是一種安全管理服務，可讓您集中設定和管理防火牆規則。當您建立新的應用程式時， 會強制執行一組常見的安全規則， AWS Firewall Manager 讓新的應用程式和資源輕鬆符合規範。

使用 AWS Firewall Manager，您可以輕鬆推出 Application Load Balancer、API Gateway 執行個體和 Amazon CloudFront 分佈的 AWS WAF 規則。 與 AWS Firewall Manager 整合 AWS 受管規則 AWS WAF，可讓您輕鬆地在應用程式上部署預先設定、策劃的 AWS WAF 規則。如需 AWS WAF 使用 集中管理的詳細資訊 AWS Firewall Manager，請參閱[集中管理 AWS WAF (API v2) AWS 受管規則 和大規模管理 AWS Firewall Manager](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/)。

![\[描述使用 集中式傳入流量檢查的圖表 AWS WAF\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)


在上述架構中，應用程式會在私有子網路中多個可用區域中的 Amazon EC2 執行個體上執行。在 Amazon EC2 執行個體前面部署了面向公有的 Application Load Balancer (ALB)，負載平衡不同目標之間的請求。與 AWS WAF ALB 相關聯。

### 優點
<a name="advantages-21"></a>
+ 使用[AWS WAF 機器人控制](https://aws.amazon.com/waf/features/bot-control/)，您可以掌握和控制應用程式常用和普遍的機器人流量。
+ 使用 [的受管規則 AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules)，您可以快速開始使用並保護您的 Web 應用程式或 APIs免受常見威脅。您可以從許多規則類型中進行選擇，例如解決開放式 Web 應用程式安全專案 (OWASP) 前 10 個安全風險、WordPress 或 Joomla 等內容管理系統 (CMS) 特定威脅，甚至是新興的常見漏洞與暴露 (CVE) 等問題的規則類型。受管規則會在新問題出現時自動更新，因此您可以花更多時間建置應用程式。
+ AWS WAF 是一項受管服務，在此架構中檢查不需要任何設備。此外，它透過 [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/). AWS WAF gives 提供近乎即時的日誌，近乎即時的 Web 流量可見性，您可以用來在 Amazon CloudWatch 中建立新的規則或提醒。

### 關鍵考量
<a name="key-considerations-42"></a>
+ 此架構最適合 HTTP 標頭檢查和分散式檢查，因為 AWS WAF 整合在每個 ALB、CloudFront 分佈和 API Gateway 上。 AWS WAF 不會記錄請求內文。
+ 前往第二組 ALB （如果有） 的流量可能無法由相同的 AWS WAF 執行個體檢查；因為會向第二組 ALB 提出新的請求。

# 使用第三方設備集中檢查傳入
<a name="centralized-inspection-third-party"></a>

在此架構設計模式中，您會在 Amazon EC2 上跨 Elastic Load Balancer (ELB) 後方的多個可用區域部署第三方防火牆設備，例如獨立檢測 VPC 中的 Application/Network Load Balancer。

檢查 VPC 和其他輻 VPCs 透過 Transit Gateway 做為 VPC 連接連接在一起。輪換 VPCs 中的應用程式由內部 ELB 做為前端，其可以是 ALB 或 NLB，視應用程式類型而定。透過網際網路的用戶端會連線至檢查 VPC 中外部 ELB 的 DNS，該 VPC 會將流量路由到其中一個防火牆設備。防火牆會檢查流量，然後使用內部 ELB 的 DNS 將流量路由至透過 Transit Gateway 的 Spoke VPC，如下圖所示。如需使用第三方設備進行傳入安全檢查的詳細資訊，請參閱[如何將第三方防火牆設備整合到 AWS 環境](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/)部落格文章。

![\[描述使用第三方設備與 ELB 進行集中式輸入流量檢查的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)


## 優點
<a name="advantages-22"></a>
+ 此架構可支援透過第三方防火牆設備提供的任何檢查和進階檢查功能應用程式類型。
+ 此模式支援從防火牆設備進行 DNS 型路由以發言 VPCs，這可讓發言 VPCs中的應用程式在 ELB 後方獨立擴展。
+ 您可以使用 Auto Scaling 搭配 ELB 來擴展檢測 VPC 中的防火牆設備。

## 關鍵考量
<a name="key-considerations-52"></a>
+ 您需要跨可用區域部署多個防火牆設備，以獲得高可用性。
+ 防火牆需要使用 設定並執行來源 NAT，以維護流程對稱性，這表示應用程式看不到用戶端 IP 地址。
+ 請考慮在 Network Services 帳戶中部署傳輸閘道和檢查 VPC。
+ 其他第三方供應商防火牆授權/支援成本。Amazon EC2 費用取決於執行個體類型。

# 使用防火牆設備搭配 Gateway Load Balancer 檢查來自網際網路的傳入流量
<a name="inspecting-inbound-traffic-fa"></a>

客戶使用第三方新一代防火牆 (NGFW) 和入侵預防系統 (IPS) 作為深度防禦策略的一部分。 傳統上，這些通常是專用硬體或軟體/虛擬設備。您可以使用 Gateway Load Balancer 水平擴展這些虛擬設備，以檢查進出 VPC 的流量，如下圖所示。

![\[描述使用防火牆設備搭配 Gateway Load Balancer 進行集中式輸入流量檢查的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)


在上述架構中，Gateway Load Balancer 端點會部署到個別邊緣 VPC 中的每個可用區域。新一代防火牆、入侵防護系統等會部署在集中式設備 VPC 的 Gateway Load Balancer 後方。此裝置 VPC 可以位於與語音 VPCs 或不同 AWS 帳戶相同的 AWS 帳戶中。虛擬設備可設定為使用 Auto Scaling 群組，並自動向 Gateway Load Balancer 註冊，允許自動擴展安全層。

這些虛擬設備可以透過網際網路閘道 (IGW) 存取其管理介面，或使用設備 VPC 中的堡壘主機設定來管理。

使用 VPC 傳入路由功能，邊緣路由表會更新，以將傳入流量從網際網路路由到 Gateway Load Balancer 後方的防火牆設備。檢查的流量會透過 Gateway Load Balancer 端點路由至目標 VPC 執行個體。如需各種 [AWS Gateway Load Balancer 使用方式的詳細資訊，請參閱簡介 Gateway Load Balancer：支援的架構模式](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/)部落格文章。 Load Balancer

# 使用 AWS Network Firewall 進行集中式輸入
<a name="using-network-firewall-for-centralized-ingress"></a>

在此架構中，傳入流量會在到達其餘 VPCs AWS Network Firewall 之前由 檢查。在此設定中，流量會在 Edge VPC 中部署的所有防火牆端點之間分割。您可以在防火牆端點和 Transit Gateway 子網路之間部署公有子網路。您可以使用 ALB 或 NLB，其中包含語音 VPCs中的 IP 目標，同時處理背後目標的 Auto Scaling。

![\[描述使用 AWS Network Firewall 進行傳入流量檢查的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)


 若要簡化此模型 AWS Network Firewall 中 的部署和管理， AWS Firewall Manager 可以使用 。Firewall Manager 可讓您自動將您在集中位置建立的保護套用至多個帳戶，以集中管理不同的防火牆。Firewall Manager 支援 Network Firewall 的分散式和集中式部署模型。部落格文章[如何使用 部署 AWS Network FirewallAWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) 提供模型的詳細資訊。

## 使用 進行深度封包檢查 (DPI) AWS Network Firewall
<a name="deep-packet-inspection-with-network-firewall"></a>

 Network Firewall 可以對輸入流量執行深度封包檢查 (DPI)。使用存放在 (ACM) 中的 Transport Layer Security AWS Certificate Manager (TLS) 憑證，Network Firewall 可以解密封包、執行 DPI 並重新加密封包。使用 Network Firewall 設定 DPI 有幾個考量。首先，信任的 TLS 憑證必須存放在 ACM 中。其次，網路防火牆規則必須設定為正確傳送封包以進行解密和重新加密。如需[加密流量和詳細資訊，請參閱部落格文章的 TLS 檢查組態 AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/)。

## 集中式輸入架構 AWS Network Firewall 中 的主要考量事項
<a name="key-considerations-66"></a>
+ Edge VPC 中的 Elastic Load Balancing 只能將 IP 地址做為目標類型，而非主機名稱。在上圖中，目標為輪換 VPC 中 Network Load Balancer 的私有 IPs。 VPCs 在邊緣 VPC 中使用 ELB 後方的 IP 目標會導致 Auto Scaling 遺失。
+ 考慮使用 AWS Firewall Manager 做為防火牆端點的單一玻璃窗格。
+ 此部署模型會在進入邊緣 VPC 時使用流量檢查，因此有可能降低檢查架構的整體成本。