Pertanyaan yang Sering Diajukan

Apakah saya memerlukan penyeimbang beban untuk merutekan lalu lintas internet melalui firewall dalam penerapan Multi-AZ?

AWS Network Firewall transparan untuk lalu lintas masuk dan keluar dan tidak memerlukan penyeimbang beban untuk dirinya sendiri. Penyeimbang beban hanya diperlukan untuk aplikasi (seperti dalam penerapan Multi-AZ standar). Dalam arsitektur zona perimeter panduan ini, Network Firewall dimasukkan melalui tabel rute dan antarmuka jaringan yang sesuai di subnet publik.

Jika Application Load Balancer tidak berada di subnet publik (dirutekan ke gateway internet), apakah itu Application Load Balancer internal?

Application Load Balancer bukanlah Application Load Balancer internal. Application Load Balancer berlanjut ke subnet eksternal yang menghadap ke internet, bahkan jika subnet tidak terhubung langsung ke internet. Subnet tersedia secara transparan ke internet karena routing dari subnet endpoint ke subnet publik didasarkan pada antarmuka jaringan Network Firewall.

Apakah Network Firewall membutuhkan subnet keamanannya sendiri?

Ya, Network Firewall membutuhkan subnet keamanannya sendiri. Subnet keamanan (publik) diperlukan untuk memastikan bahwa routing lalu lintas dari dan ke Application Load Balancer dapat dikontrol melalui tabel rute.

Apakah arsitektur target valid untuk firewall lalu lintas masuk dan keluar?

Ya, arsitektur target berlaku untuk firewall lalu lintas masuk dan keluar. Jika koneksi dimulai dari aplikasi ke luar VPC, maka Anda harus menambahkan gateway NAT ke subnet titik akhir. Selain itu, Anda harus meneruskan lalu lintas dari subnet aplikasi ke gateway NAT dengan menggunakan tabel rute (seperti yang diilustrasikan oleh aplikasi tabel Route dalam diagram dari arsitektur zona Perimeter berdasarkan bagian Network Firewall dari panduan ini.). Kemudian, tidak ada perubahan lebih lanjut yang diperlukan karena semua lalu lintas keluar masih melalui Network Firewall.