亚马逊AWS官方博客
·
Network Firewall 部署小指南(一)部署模型
💡
原文中文,约5500字,阅读约需13分钟。
📝
内容提要
本文介绍了互联网南北向流量检查场景中的四种推荐的 Network Firewall(NFW)部署模型,包括出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。同时,还描述了两种组合模型。建议根据安全需求和运维需求选择适合的模型,并采用分层次深度防御方法。
🎯
关键要点
- 介绍了四种推荐的网络防火墙(NFW)部署模型:出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。
- 建议根据安全需求和运维需求选择适合的模型,并采用分层次深度防御方法。
- 分布式部署模型适用于单个业务 VPC 的简单环境,但管理开销较高。
- 集中式部署模型适合多个业务 VPC 的环境,能够集中管理防火墙安全策略。
- 出站流量检查分布式部署模型要求为 NFW 单独创建子网,并建议将其放置在 NAT 网关和私有子网之间。
- 出站流量检查集中式部署模型可以降低成本,但需支付额外的 TGW 数据处理费用。
- 入站流量检查分布式部署模型建议将 NFW 放置在 ELB 和 IGW 之间,以查看客户端 IP 地址。
- 入站流量检查集中式部署模型将入站流量集中管理,节省 NFW 每小时费用,但增加 TGW 数据处理费用。
- 出站和入站流量检查的组合模型需要分别创建子网,并进行分离部署。
- 建议结合其他 AWS 安全服务使用 NFW,以增强安全防护。
❓
延伸问答
什么是网络防火墙(NFW)?
网络防火墙(NFW)是一种高度可用、托管的网络防火墙服务,能够检查和控制整个VPC的3-7层网络流量。
出站流量检查的分布式部署模型有什么特点?
出站流量检查的分布式部署模型适用于单个业务VPC,要求为NFW单独创建子网,并建议将其放置在NAT网关和私有子网之间。
集中式部署模型如何降低成本?
集中式部署模型通过在一个检查VPC中集中管理NFW和NAT网关,避免了为每个业务VPC单独支付NFW和NAT网关的费用,从而降低了成本。
入站流量检查的分布式部署模型应该如何配置?
入站流量检查的分布式部署模型建议将NFW放置在ELB和IGW之间,以便查看客户端IP地址并检查所有入站流量。
如何使用Firewall Manager管理NFW?
Firewall Manager允许集中创建的防护策略自动应用到多个账户,从而简化NFW的部署和管理。
在选择NFW部署模型时需要考虑哪些因素?
选择NFW部署模型时应考虑安全需求、运维需求、成本、可用性和流量检查的具体要求。
➡️
