亚马逊AWS官方博客
·
Network Firewall 部署小指南(四)通过私网 NAT 实现零停机变更
💡
原文中文,约3800字,阅读约需9分钟。
📝
内容提要
AWS Network Firewall(NFW)是一种保护Amazon VPC的网络安全服务。本文介绍了一种新架构,通过私有NAT网关,仅过滤VPC私有子网到互联网的出站流量,不影响现有公网NAT和业务子网,实现零停机,满足业务连续性和安全性需求。并对比传统方案,突出新架构优势。
🎯
关键要点
- AWS Network Firewall(NFW)是一种保护Amazon VPC的网络安全服务。
- 新架构通过私有NAT网关,仅过滤VPC私有子网到互联网的出站流量。
- 新架构实现零停机,满足业务连续性和安全性需求。
- 传统出站流量检查模型会导致ELB流量经过NFW,无法满足客户需求。
- 客户希望复用原有NAT网关公有IP地址,避免变更第三方厂商的白名单。
- 新架构通过拆分公有子网,实现ELB流量隔离。
- 新增私有NAT网关的部署方案保持原有公有子网NAT网关IP地址不变。
- 对比四种部署架构的优缺点,提供方案选型参考。
- 实施步骤包括切换路由表和测试访问延迟。
- 新架构平衡了业务连续性和安全性需求,为企业客户提供可取的NFW部署选择。
❓
延伸问答
AWS Network Firewall(NFW)是什么?
AWS Network Firewall(NFW)是一种保护Amazon VPC的网络安全服务,提供全面的入站和出站流量检查和防护功能。
新架构如何实现零停机变更?
新架构通过私有NAT网关,仅过滤VPC私有子网到互联网的出站流量,避免影响现有公网NAT,从而实现零停机变更。
传统出站流量检查模型的缺点是什么?
传统模型会导致ELB流量经过NFW,无法满足客户仅过滤私有子网出站流量的需求,影响业务连续性。
客户希望复用原有NAT网关公有IP地址的原因是什么?
客户希望避免变更第三方厂商的白名单,减少切换成本,因此希望复用原有NAT网关公有IP地址。
实施新架构的步骤有哪些?
实施步骤包括切换路由表和测试访问延迟,以确保变更过程的顺利进行。
新架构与传统方案相比有哪些优势?
新架构避免了公网业务流量经过NFW,保持了原有NAT网关IP地址不变,实现了零停机,满足了业务连续性和安全性需求。
➡️
