亚马逊AWS官方博客
·
Network Firewall 部署小指南(二)路由设计
💡
原文中文,约5800字,阅读约需14分钟。
📝
内容提要
文章介绍了四种网络防火墙部署模型:出站流量检查分布式、集中式,入站流量检查分布式、集中式。选择合适模型后需调整VPC路由表以检查流量。强调NFW的有状态特性和对称路由的重要性,建议根据需求选择部署模式并参考路由设计建议。
🎯
关键要点
- 文章介绍了四种网络防火墙部署模型:出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。
- 选择合适模型后需调整VPC路由表以检查流量。
- 强调NFW的有状态特性和对称路由的重要性。
- 建议根据需求选择部署模式并参考路由设计建议。
- 在进行VPC路由设计时,需要确保流量出入同一个NFW终端节点。
- 路由表中的Target应指向同AZ的NFW端点,避免产生跨AZ传输费用。
- 在NFW上线前,建议对相关流量进行梳理,确保NFW策略配置正确。
- NFW为透明防火墙,通过修改VPC中的路由表将NFW嵌入到现网架构中。
- 分布式部署模型和集中式部署模型的路由设计和流量转发过程有所不同。
- 出站集中式部署模型将APP-VPC的互联网出口集中到Inspection VPC进行检测。
- 入站集中式部署模型中,NFW被部署在VPC的最外侧,检测从互联网进入VPC的流量。
- 总结建议根据具体业务需求选择最适合的部署模式,并参考路由设计建议。
❓
延伸问答
网络防火墙的四种部署模型是什么?
四种部署模型为:出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。
如何调整VPC路由表以检查流量?
选择合适的防火墙部署模型后,需要修改VPC中的子网路由表,以确保流量通过NFW进行检查。
NFW的有状态特性和对称路由有什么重要性?
NFW的有状态特性要求流量出入同一个NFW终端节点,而对称路由则确保流量的去向和回向通过同一条路径,避免连接中断。
在进行NFW上线前需要注意什么?
在NFW上线前,建议对相关流量进行梳理,确保NFW策略配置正确,并预留割接窗口以避免现有连接中断。
出站集中式部署模型的流量转发过程是怎样的?
出站集中式部署模型将流量集中到Inspection VPC进行检测,流量经过TGW转发到NFW进行规则匹配,最后发送到互联网。
选择防火墙部署模式时应考虑哪些因素?
选择防火墙部署模式时应考虑具体业务需求、后期维护复杂性以及路由设计建议。
➡️
