亚马逊AWS官方博客
·
Network Firewall 部署小指南(二)路由设计
💡
原文中文,约5800字,阅读约需14分钟。
📝
内容提要
文章介绍了四种网络防火墙部署模型:出站流量检查分布式、集中式,入站流量检查分布式、集中式。选择合适模型后需调整VPC路由表以检查流量。强调NFW的有状态特性和对称路由的重要性,建议根据需求选择部署模式并参考路由设计建议。
🎯
关键要点
- 文章介绍了四种网络防火墙部署模型:出站流量检查分布式、出站流量检查集中式、入站流量检查分布式和入站流量检查集中式。
- 选择合适模型后需调整VPC路由表以检查流量。
- 强调NFW的有状态特性和对称路由的重要性。
- 建议根据需求选择部署模式并参考路由设计建议。
- 在进行VPC路由设计时,需要确保流量出入同一个NFW终端节点。
- 路由表中的Target应指向同AZ的NFW端点,避免产生跨AZ传输费用。
- 在NFW上线前,建议对相关流量进行梳理,确保NFW策略配置正确。
- NFW为透明防火墙,通过修改VPC中的路由表将NFW嵌入到现网架构中。
- 分布式部署模型和集中式部署模型的路由设计和流量转发过程有所不同。
- 出站集中式部署模型将APP-VPC的互联网出口集中到Inspection VPC进行检测。
- 入站集中式部署模型中,NFW被部署在VPC的最外侧,检测从互联网进入VPC的流量。
- 总结建议根据具体业务需求选择最适合的部署模式,并参考路由设计建议。
➡️
