亚马逊AWS官方博客
·
Network Firewall 部署小指南(一)部署模型
💡
原文中文,约5500字,阅读约需13分钟。
📝
内容提要
本文介绍了互联网南北向流量检查场景中的四种推荐的 Network Firewall(NFW)部署模型,包括出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。同时,还描述了两种组合模型。建议根据安全需求和运维需求选择适合的模型,并采用分层次深度防御方法。
🎯
关键要点
- 介绍了四种推荐的网络防火墙(NFW)部署模型:出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。
- 建议根据安全需求和运维需求选择适合的模型,并采用分层次深度防御方法。
- 分布式部署模型适用于单个业务 VPC 的简单环境,但管理开销较高。
- 集中式部署模型适合多个业务 VPC 的环境,能够集中管理防火墙安全策略。
- 出站流量检查分布式部署模型要求为 NFW 单独创建子网,并建议将其放置在 NAT 网关和私有子网之间。
- 出站流量检查集中式部署模型可以降低成本,但需支付额外的 TGW 数据处理费用。
- 入站流量检查分布式部署模型建议将 NFW 放置在 ELB 和 IGW 之间,以查看客户端 IP 地址。
- 入站流量检查集中式部署模型将入站流量集中管理,节省 NFW 每小时费用,但增加 TGW 数据处理费用。
- 出站和入站流量检查的组合模型需要分别创建子网,并进行分离部署。
- 建议结合其他 AWS 安全服务使用 NFW,以增强安全防护。
➡️
