Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie eine Firewall mit AWS Network Firewall und AWS Transit Gateway bereit
Erstellt von Shrikant Patil (AWS)
Übersicht
Dieses Muster zeigt Ihnen, wie Sie eine Firewall mithilfe von AWS Network Firewall und AWS Transit Gateway bereitstellen. Die Netzwerk-Firewall-Ressourcen werden mithilfe einer CloudFormation AWS-Vorlage bereitgestellt. Die Network Firewall passt sich automatisch Ihrem Netzwerkverkehr an und kann Hunderttausende von Verbindungen unterstützen, sodass Sie sich keine Gedanken über den Aufbau und die Wartung Ihrer eigenen Netzwerksicherheitsinfrastruktur machen müssen. Ein Transit Gateway ist ein Netzwerk-Transit-Hub, mit dem Sie Ihre Virtual Private Clouds (VPCs) und On-Premises-Netzwerke miteinander verbinden können.
In diesem Muster lernen Sie auch, eine Inspektions-VPC in Ihre Netzwerkarchitektur einzubeziehen. Schließlich wird in diesem Muster erklärt, wie Sie Amazon verwenden CloudWatch , um die Aktivitäten Ihrer Firewall in Echtzeit zu überwachen.
Tipp: Es hat sich bewährt, die Verwendung eines Netzwerk-Firewall-Subnetzes zur Bereitstellung anderer AWS-Services zu vermeiden. Dies liegt daran, dass die Network Firewall den Verkehr von Quellen oder Zielen innerhalb des Subnetzes einer Firewall nicht untersuchen kann.
Voraussetzungen und Einschränkungen
Voraussetzungen
Einschränkungen
Möglicherweise haben Sie Probleme mit der Domainfilterung und es könnte eine andere Konfiguration erforderlich sein. Weitere Informationen finden Sie unter Stateful Domain List Rule Groups in AWS Network Firewall in der Dokumentation zur Network Firewall.
Architektur
Technologie-Stack
Zielarchitektur
Das folgende Diagramm zeigt, wie Sie Network Firewall und Transit Gateway verwenden, um Ihren Datenverkehr zu überprüfen:
Die Architektur umfasst die folgenden Komponenten:
Ihre Anwendung wird in den beiden Spoke-VPCs gehostet. Die VPCs werden von der Network Firewall überwacht.
Die Ausgangs-VPC hat direkten Zugriff auf das Internet-Gateway, ist jedoch nicht durch die Network Firewall geschützt.
Die Inspektions-VPC ist der Ort, an dem die Network Firewall bereitgestellt wird.
Automatisierung und Skalierung
Sie können dieses Muster mithilfe von Infrastruktur als Code erstellen. CloudFormation
AWS-Services
Amazon CloudWatch Logs hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.
Amazon Virtual Private Cloud (Amazon VPC) hilft Ihnen, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
Die AWS Network Firewall ist ein zustandsorientierter, verwalteter Netzwerk-Firewall sowie Service zur Erkennung und Verhinderung von Eindringlingen für VPCs in der AWS-Cloud.
AWS Transit Gateway ist ein zentraler Hub, der VPCs und lokale Netzwerke verbindet.
Code
Der Code für dieses Muster ist in der GitHub AWS-Netzwerk-Firewall-Bereitstellung mit dem Transit Gateway Gateway-Repository verfügbar. Sie können die CloudFormation Vorlage aus diesem Repository verwenden, um eine einzelne Inspektions-VPC bereitzustellen, die die Network Firewall verwendet.
Epen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Bereiten Sie die CloudFormation Vorlage vor und stellen Sie sie bereit. | Laden Sie die cloudformation/aws_nw_fw.yml Vorlage aus dem GitHub Repository herunter. Aktualisieren Sie die Vorlage mit Ihren Werten. Stellen Sie die Vorlage bereit.
| AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Erstellen Sie ein Transit-Gateway. | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon VPC-Konsole. Wählen Sie im Navigationsbereich Transit Gateways aus. Wählen Sie Create Transit Gateway (Transit Gateway erstellen) aus. Geben Sie unter Namenstag einen Namen für das Transit-Gateway ein. Geben Sie unter Beschreibung eine Beschreibung für das Transit-Gateway ein. Behalten Sie für die Amazon-seitige Autonome Systemnummer (ASN) den ASN-Standardwert bei. Wählen Sie die DNS-Supportoption aus. Wählen Sie die Option VPN ECMP-Unterstützung aus. Wählen Sie die Option Standardroutentabellenzuordnung aus. Diese Option ordnet die Transit-Gateway-Anlagen automatisch der Standardroutentabelle für das Transit-Gateway zu. Wählen Sie die Option Standardweiterleitung für Routing-Tabellen aus. Mit dieser Option werden die Transit-Gateway-Anlagen automatisch an die Standardroutentabelle für das Transit-Gateway weitergegeben. Wählen Sie Create Transit Gateway (Transit Gateway erstellen) aus.
| AWS DevOps |
Erstellen Sie Transit-Gateway-Anhänge. | Erstellen Sie einen Transit-Gateway-Anhang für Folgendes: Ein Inspektionsanhang im Inspektions-VPC- und Transit Gateway Gateway-Subnetz Ein SpokeVPCA-Anhang im Spoke-VPCA und im privaten Subnetz Ein SpokeVPCB-Anhang in der Spoke-VPCB und im privaten Subnetz Ein EgressVPC-Anhang in der Ausgangs-VPC und im privaten Subnetz
| AWS DevOps |
Erstellen Sie eine Routentabelle für das Transit-Gateway. | Erstellen Sie eine Transit-Gateway-Routentabelle für die Spoke-VPC. Diese Routing-Tabelle muss allen VPCs mit Ausnahme der Inspektions-VPC zugeordnet sein. Erstellen Sie eine Transit-Gateway-Routentabelle für die Firewall. Diese Routentabelle darf nur der Inspektions-VPC zugeordnet werden. Fügen Sie der Transit-Gateway-Routentabelle für die Firewall eine Route hinzu: Verwenden Sie für 0.0.0/0 den EgressVPC-Anhang. Verwenden Sie für den SpokeVPCA CIDR-Block den SpokeVPC1-Anhang. Verwenden Sie für den SpokeVPCB CIDR-Block den SpokeVPC2-Anhang.
Fügen Sie der Transit-Gateway-Routentabelle für die Spoke-VPC eine Route hinzu. Verwenden Sie 0.0.0/0 dazu den VPC-Anhang von Inspection.
| AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Erstellen Sie eine Firewall in der Inspektions-VPC. | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon VPC-Konsole. Wählen Sie im Navigationsbereich unter Network Firewall die Option Firewalls aus. Wählen Sie Firewall erstellen aus. Geben Sie unter Name den Namen ein, mit dem Sie diese Firewall identifizieren möchten. Sie können den Namen einer Firewall nicht mehr ändern, nachdem Sie sie erstellt haben. Wählen Sie für VPC Ihre Inspektions-VPC aus. Wählen Sie für Availability Zone und Subnet die Zone und das Firewall-Subnetz aus, die Sie identifiziert haben. Wählen Sie im Abschnitt Zugeordnete Firewall-Richtlinie die Option Einer vorhandenen Firewall-Richtlinie zuordnen aus, und wählen Sie dann die Firewall-Richtlinie aus, die Sie zuvor erstellt haben. Wählen Sie „Firewall erstellen“.
| AWS DevOps |
Erstellen Sie eine Firewall-Richtlinie. | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon VPC-Konsole. Wählen Sie im Navigationsbereich unter Network Firewall die Option Firewall-Richtlinien aus. Wählen Sie auf der Seite „Firewall-Richtlinie beschreiben“ die Option Firewall-Richtlinie erstellen aus. Geben Sie unter Name den Namen ein, den Sie für die Firewall-Richtlinie verwenden möchten. Sie verwenden den Namen, um die Richtlinie zu identifizieren, wenn Sie die Richtlinie später in diesem Muster Ihrer Firewall zuordnen. Sie können den Namen einer Firewall-Richtlinie nicht mehr ändern, nachdem Sie sie erstellt haben. Wählen Sie Weiter aus. Wählen Sie auf der Seite Regelgruppen hinzufügen im Abschnitt Stateless Rule Group die Option Stateless Rule Groups hinzufügen aus. Aktivieren Sie im Dialogfeld Aus vorhandenen Regelgruppen hinzufügen das Kontrollkästchen für die statuslose Regelgruppe, die Sie zuvor erstellt haben. Wählen Sie Regelgruppen hinzufügen aus. Hinweis: Unten auf der Seite zeigt der Kapazitätszähler der Firewall-Richtlinie neben der maximal zulässigen Kapazität für eine Firewall-Richtlinie die Kapazität an, die durch das Hinzufügen dieser Regelgruppe verbraucht wurde. Stellen Sie die Standardaktion „Statuslos“ auf „An statusbehaftete Regeln weiterleiten“ ein. Wählen Sie im Abschnitt Stateful-Regelgruppe die Option Stateful-Regelgruppen hinzufügen aus und aktivieren Sie dann das Kontrollkästchen für die statusbehaftete Regelgruppe, die Sie zuvor erstellt haben. Wählen Sie Regelgruppen hinzufügen aus. Wählen Sie Weiter, um den Rest des Einrichtungsassistenten durchzugehen, und wählen Sie dann Firewall-Richtlinie erstellen aus.
| AWS DevOps |
Aktualisieren Sie Ihre VPC-Routentabellen. | VPC-Routentabellen für Inspektionen Fügen Sie in der ANF Subnetz-Routentabelle (Inspection-ANFRT) die Transit-Gateway-ID hinzu0.0.0/0. Fügen Sie in der Transit Gateway Gateway-Subnetz-Routentabelle (Inspection-TGWRT) die Datei 0.0.0/0 zur EgressVPC hinzu.
SpokeVPCA-Routentabelle Fügen Sie in der Tabelle für private Routen 0.0.0.0/0 die Transit Gateway Gateway-ID hinzu. Spoke VPCB-Routentabelle Fügen Sie in der Tabelle für private Routen 0.0.0.0/0 die Transit Gateway Gateway-ID hinzu. Ausgangs-VPC-Routing-Tabellen Fügen Sie in der Tabelle für öffentliche Ausgangsrouten den SpokeVPCA- und Spoke VPCB CIDR-Block zur Transit Gateway Gateway-ID hinzu. Wiederholen Sie den gleichen Schritt für das private Subnetz. | AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Aktualisieren Sie die Logging-Konfiguration der Firewall. | Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon VPC-Konsole. Wählen Sie im Navigationsbereich unter Network Firewall die Option Firewalls aus. Wählen Sie auf der Seite Firewalls den Namen der Firewall aus, die Sie bearbeiten möchten. Wählen Sie die Registerkarte Firewall-Details. Wählen Sie im Abschnitt Protokollierung die Option Bearbeiten aus. Passen Sie die Auswahl des Protokolltyps nach Bedarf an. Sie können die Protokollierung für Alert- und Flow-Logs konfigurieren. Warnung — Sendet Protokolle für Datenverkehr, der einer Statusregel entspricht, bei der die Aktion auf Alert oder Drop gesetzt ist. Weitere Informationen zu statusbehafteten Regeln und Regelgruppen finden Sie unter Regelgruppen in der AWS-Netzwerk-Firewall. Flow — Sendet Protokolle für den gesamten Netzwerkverkehr, den die Stateless Engine an die Stateful-Regel-Engine weiterleitet.
Wählen Sie für jeden ausgewählten Protokolltyp den Zieltyp aus, und geben Sie dann die Informationen für das Protokollierungsziel ein. Weitere Informationen finden Sie unter AWS Network Firewall-Protokollierungsziele in der Dokumentation zur Network Firewall. Wählen Sie Speichern.
| AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Starten Sie eine EC2-Instance, um das Setup zu testen. | Starten Sie zwei Amazon Elastic Compute Cloud (Amazon EC2) -Instances in der Spoke-VPC: eine für Jumpbox und eine für Testkonnektivität. | AWS DevOps |
Überprüfen Sie die Metriken. | Die Metriken werden zuerst nach dem Service-Namespace und dann nach den verschiedenen Dimensionskombinationen innerhalb der einzelnen Namespaces gruppiert. Der CloudWatch Namespace für die Network Firewall istAWS/NetworkFirewall. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudWatch Konsole. Wählen Sie im Navigationsbereich Metriken aus. Wählen Sie auf der Registerkarte Alle Metriken die Region und dann NetworkFirewallAWS/ aus.
| AWS DevOps |
Zugehörige Ressourcen
