NAT 게이트웨이의 트래픽 검사 - Amazon Virtual Private Cloud
작동 방식어플라이언스 연결연결된 어플라이언스 보기

NAT 게이트웨이의 트래픽 검사

NAT 게이트웨이에 Network Firewall Proxy를 연결하여 NAT 게이트웨이의 트래픽을 검사하고 필터링할 수 있습니다. 이 보안 컨트롤을 사용하면 신뢰할 수 있는 경계 외부로의 데이터 유출을 방지하고 원치 않는 인바운드 응답을 차단할 수 있습니다.

작동 방식

Network Firewall Proxy를 생성할 때는 Proxy를 연결할 기존 NAT 게이트웨이를 선택해야 합니다. Proxy가 생성되면 다음과 같은 작업을 수행합니다.

  • Proxy는 정규화된 도메인 이름과 함께 제공되며 애플리케이션이 http 및 https 연결 요청을 Proxy로 보내도록 설정해야 합니다. 프록시는 먼저 고객이 입력한 규칙에 따라 연결 요청의 도메인 이름을 필터링합니다. 고객이 허용하는 경우 프록시는 DNS 쿼리를 수행하여 도메인의 IP 주소를 가져옵니다. 그런 다음 최종 대상과의 TCP 연결을 설정합니다. TLS 복호화가 활성화되었는지 여부에 따라 프록시는 IP 주소 및 헤더 속성에 대해 TLS 연결을 필터링하고 정책에서 IP 및 헤더 속성(헤더 작업 및 URL 경로 포함)을 허용하는 경우에만 대상과 TLS 연결을 설정합니다.

  • 어플라이언스는 트래픽을 검사하고 필터링합니다.

  • 허용된 트래픽은 대상(인터넷, 온프레미스 환경 또는 다른 VPC)으로 계속됩니다.

어플라이언스 연결

어플라이언스는 AWS Network Firewall을 통해 NAT 게이트웨이에 연결됩니다. 어플라이언스를 생성 및 연결하는 단계는 Network Firewall Proxy 개발자 안내서를 참조하세요.

연결된 어플라이언스 보기

NAT 게이트웨이에 연결된 어플라이언스를 보려면 describe-nat-gateways 명령을 사용하세요.

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

응답에는 다음을 표시하는 AttachedAppliances 필드가 포함됩니다.

  • Type - 어플라이언스 유형(예: network-firewall-proxy)

  • ApplianceArn - 연결된 어플라이언스의 ARN

  • AttachmentState - 현재 연결 상태(attached, detaching, detached, attach_failed, detach_failed)

  • ModificationState - 현재 수정 상태(modifying, completed, failed)

  • VpcEndpointId - 검사 및 필터링을 위해 애플리케이션 VPC에서 프록시로 트래픽을 라우팅하는 데 사용되는 VPC 엔드포인트 ID

  • FailureCode - 어플라이언스 연결 또는 수정 작업이 실패한 경우의 실패 코드

  • FailureMessage - 어플라이언스 연결 또는 수정 작업이 실패한 경우 실패를 설명하는 설명 메시지