本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Network Firewall 進行集中式輸入
<a name="using-network-firewall-for-centralized-ingress"></a>

在此架構中，傳入流量會在到達其餘 VPCs AWS Network Firewall 之前由 檢查。在此設定中，流量會在 Edge VPC 中部署的所有防火牆端點之間分割。您可以在防火牆端點和 Transit Gateway 子網路之間部署公有子網路。您可以使用 ALB 或 NLB，其中包含語音 VPCs中的 IP 目標，同時處理背後目標的 Auto Scaling。

![\[描述使用 AWS Network Firewall 進行傳入流量檢查的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)


 若要簡化此模型 AWS Network Firewall 中 的部署和管理， AWS Firewall Manager 可以使用 。Firewall Manager 可讓您自動將您在集中位置建立的保護套用至多個帳戶，以集中管理不同的防火牆。Firewall Manager 支援 Network Firewall 的分散式和集中式部署模型。部落格文章[如何使用 部署 AWS Network FirewallAWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) 提供模型的詳細資訊。

## 使用 進行深度封包檢查 (DPI) AWS Network Firewall
<a name="deep-packet-inspection-with-network-firewall"></a>

 Network Firewall 可以對輸入流量執行深度封包檢查 (DPI)。使用存放在 (ACM) 中的 Transport Layer Security AWS Certificate Manager (TLS) 憑證，Network Firewall 可以解密封包、執行 DPI 並重新加密封包。使用 Network Firewall 設定 DPI 有幾個考量。首先，信任的 TLS 憑證必須存放在 ACM 中。其次，網路防火牆規則必須設定為正確傳送封包以進行解密和重新加密。如需[加密流量和詳細資訊，請參閱部落格文章的 TLS 檢查組態 AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/)。

## 集中式輸入架構 AWS Network Firewall 中 的主要考量事項
<a name="key-considerations-66"></a>
+ Edge VPC 中的 Elastic Load Balancing 只能將 IP 地址做為目標類型，而非主機名稱。在上圖中，目標為輪換 VPC 中 Network Load Balancer 的私有 IPs。 VPCs 在邊緣 VPC 中使用 ELB 後方的 IP 目標會導致 Auto Scaling 遺失。
+ 考慮使用 AWS Firewall Manager 做為防火牆端點的單一玻璃窗格。
+ 此部署模型會在進入邊緣 VPC 時使用流量檢查，因此有可能降低檢查架構的整體成本。