Zentralisierte eingehende Inspektion mit Appliances von Drittanbietern - Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur
VorteileDie wichtigsten Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zentralisierte eingehende Inspektion mit Appliances von Drittanbietern

In diesem architektonischen Entwurfsmuster stellen Sie Firewall-Appliances von Drittanbietern auf Amazon in EC2 mehreren Availability Zones hinter einem Elastic Load Balancer (ELB), z. B. einem Application/Network Load Balancer, in einer separaten Inspektion bereit. VPC

Die Inspektion VPC und andere Spoke VPCs sind über ein Transit Gateway als VPC Anlagen miteinander verbunden. Die Anwendungen in Spoke VPCs verfügen über ein internes FrontendELB, das entweder ALB oder NLB je nach Anwendungstyp sein kann. Die Clients stellen bei der Inspektion über das DNS Internet eine Verbindung zum externen Server ELB herVPC, der den Datenverkehr an eine der Firewall-Appliances weiterleitet. Die Firewall überprüft den Datenverkehr und leitet ihn dann VPC über das Transit Gateway an den Spoke weiter. Dabei wird DNS der interne Datenverkehr verwendet, ELB wie in der folgenden Abbildung dargestellt. Weitere Informationen zur Sicherheitsprüfung eingehender Nachrichten mit Appliances von Drittanbietern finden Sie im Blogbeitrag So integrieren Sie Firewall-Appliances von Drittanbietern in eine AWS Umgebung.

Ein Diagramm, das die zentrale Inspektion des eingehenden Datenverkehrs mithilfe von Appliances von Drittanbietern zeigt und ELB

Zentralisierte Inspektion des eingehenden Datenverkehrs mithilfe von Appliances von Drittanbietern und ELB

Vorteile

  • Diese Architektur unterstützt alle Arten von Anwendungen für die Inspektion und erweiterte Inspektionsfunktionen, die über Firewall-Appliances von Drittanbietern angeboten werden.

  • Dieses Muster unterstützt das DNS basierte Routing von Firewall-Appliances zu SpokeVPCs, wodurch die Anwendungen in Spoke VPCs unabhängig voneinander skaliert werden könnenELB.

  • Sie können Auto Scaling mit der verwendenELB, um die Firewall-Appliances in der Inspektion zu skalierenVPC.

Die wichtigsten Überlegungen

  • Für eine hohe Verfügbarkeit müssen Sie mehrere Firewall-Appliances in allen Availability Zones bereitstellen.

  • Die Firewall muss mit Source NAT konfiguriert und ausgeführt werden, um die Flusssymetrie aufrechtzuerhalten, was bedeutet, dass die Client-IP-Adresse für die Anwendung nicht sichtbar ist.

  • Erwägen Sie die Bereitstellung von Transit Gateway and Inspection VPC im Network Services-Konto.

  • Zusätzliche Kosten für Firewall-Lizenzierung und Support von Drittanbietern. Die EC2 Gebühren von Amazon hängen vom Instance-Typ ab.