使用 AWS Network 防火墙和 Tr AWS ansit Gateway 部署防火墙 - AWS Prescriptive Guidance

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Network 防火墙和 Tr AWS ansit Gateway 部署防火墙

由 Shrikant Patil 创作 () AWS

摘要

此模式向您展示如何使用 AWS Network Firewall 和 Tr AWS ansit Gateway 部署防火墙。Network Firewall 资源是使用AWS CloudFormation 模板部署的。Network Firewall 会根据您的网络流量自动扩缩,并且可以支持数十万个连接,因此您不必担心构建和维护自己的网络安全基础设施。传输网关是一个网络传输中心,可用于互连虚拟私有云 (VPCs) 和本地网络。

在这种模式中,您还将学习在网络架构VPC中加入检查。最后,此模式说明了如何使用 Amazon CloudWatch 为您的防火墙提供实时活动监控。

提示

最佳做法是避免使用 Network Firewall 子网部署其他AWS服务。原因是 Network Firewall 无法检查来自防火墙子网内源或目标的流量。

先决条件和限制

先决条件

  • 一个活跃的AWS账户

  • AWSIdentity and Access Management (IAM) 角色和策略权限

  • CloudFormation 模板权限

限制

您可能在域筛选方面遇到问题,需要另一种配置。有关更多信息,请参阅 Network Firew all 文档中的 AWS Network Firewall 中的状态域列表规则组

架构

技术堆栈

  • Amazon CloudWatch 日志

  • Amazon VPC

  • AWS Network Firewall

  • AWS Transit Gateway

目标架构

下图显示了如何使用 Network Firewall 和 Transit Gateway 检查您的流量:

AWSTransit Gateway 连接检查VPCVPC、出口和两个辐VPCs条。

例架包括以下组件:

  • 您的应用程序托管在两个分支中VPCs。VPCs它们由 Network Firewall 监控。

  • 出口可以直接访问互联网网关,但不受 Network F VPC irewall 保护。

  • 检查VPC是部署 Network Firewall 的地方。

自动化和扩缩

您可以使用基础架构即代码CloudFormation来创建此模式。

工具

AWS 服务

  • Amazon CloudWatch Lo gs 可帮助您集中管理所有系统、应用程序和AWS服务的日志,以便您可以对其进行监控并安全地存档。

  • Amazon Virtual Private Cloud(亚马逊VPC)可帮助您将AWS资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络,并具有使用 AWS 的可扩展基础设施的优势。

  • AWSNetwork Fire wall 是一项针对VPCsAWS云端的状态托管网络防火墙以及入侵检测和防御服务。

  • AWSTransit Gatew ay 是一个连接本地网络VPCs的中央枢纽。

代码

此模式的代码可在带有 Tr ansit Gateway 存储库的 GitHub AWS Network Firewall 部署中找到。您可以使用此存储库中的 CloudFormation 模板部署使用 Network Firewall VPC 的单一检查。

操作说明

任务描述所需技能

准备并部署 CloudFormation 模板。

  1. 从 GitHub 存储库下载cloudformation/aws_nw_fw.yml模板。

  2. 使用您的值更新模板。

  3. 部署模板。

AWS DevOps
任务描述所需技能

创建中转网关。

  1. 登录AWS管理控制台并打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Transit Gateways(中转网关)。

  3. 选择 Create Transit Gateway(创建中转网关)。

  4. 对于 Name tag(名称标签),输入中转网关的名称。

  5. 对于 Description(描述),输入中转网关的描述。

  6. 对于 Amazon 端自治系统编号 (ASN),请保留默认ASN值。

  7. 选择DNS支持选项。

  8. 选择VPNECMP支持选项。

  9. 选择默认路由表关联选项。此选项自动将中转网关连接与中转网关的默认路由表关联。

  10. 选择默认路由表传播选项。此选项自动将中转网关连接传播至与中转网关的默认路由表。

  11. 选择 Create Transit Gateway(创建中转网关)。

AWS DevOps

创建中转网关连接。

为以下内容创建中转网关连接

  • 检查VPC和 Transit Gateway 子网中的检查附件

  • VPCA和私有子网中的分支VPCA附件

  • VPCB和私有子网中的分支VPCB附件

  • 出口和私有子网中的出口VPCVPC连接

AWS DevOps

创建中转网关路由表。

  1. 为@@ 分支创建公交网关路由表VPC。此路由表必须与检查以VPCs外的所有路由表相关联VPC。

  2. 为防火墙创建中转网关路由表。此路由表必须VPC仅与检查关联。

  3. 将路由添加到防火墙的中转网关路由表:

    • 对于0.0.0/0,请使用 Egress VPC 附件。

    • 对于 Spo k e VPCA CIDR 方块,请使用 Spo k e VPC1 附件。

    • 对于 Spo k e VPCB CIDR 方块,请使用 Spo k e VPC2 附件。

  4. 向辐条的公交网关路由表中添加路由VPC。对于0.0.0/0,请使用检查VPC附件。

AWS DevOps
任务描述所需技能

在检查中创建防火墙VPC。

  1. 登录AWS管理控制台并打开 Amazon VPC 控制台

  2. 在导航窗格中的 Network Firewall 下,选择防火墙

  3. 选择创建防火墙

  4. 对于 Name (名称),输入要用于标识此防火墙的名称。在创建防火墙后,您无法更改其名称。

  5. 对于 VPC,请选择您的检查VPC。

  6. 可用区子网中,选择您确定的区域和防火墙子网。

  7. 关联的防火墙策略部分,选择关联现有防火墙策略,然后选择您之前创建的防火墙策略。

  8. 选择创建防火墙

AWS DevOps

创建防火墙策略。

  1. 登录AWS管理控制台并打开 Amazon VPC 控制台

  2. 在导航窗格中的 Network Firewall 下,选择防火墙策略

  3. 描述防火墙策略页面,选择创建防火墙策略

  4. 对于名称,输入要用于防火墙策略的名称。稍后在此模式中将策略与防火墙关联,您将使用该名称来标识该策略。在创建防火墙策略后,您无法更改其名称。

  5. 选择 Next(下一步)。

  6. 添加规则组页面的 无状态规则组部分,选择添加无状态规则组

  7. 从现有规则组添加对话框中,选中之前创建的无状态规则组对应的复选框。选择添加规则组注意:在页面底部,防火墙策略的容量计数器显示在防火墙策略允许的最大容量旁边添加此规则组所消耗的容量。

  8. 将无状态默认操作设置为转发到有状态规则

  9. 有状态的规则组部分,选择添加有状态的规则组,然后选中前面创建的有状态规则组的复选框。选择添加规则组

  10. 选择下一步,逐步完成安装向导的其余部分,然后选择创建防火墙策略

AWS DevOps

更新您的VPC路由表。

检查VPC路线表

  1. ANF子网路由表 (Inspection-ANFRT) 中,添加 0.0.0/0 到 Transit Gateway ID。

  2. 在 Transit Gat eway 子网路由表 (Inspection-TGWRT) 中,添加0.0.0/0至出口VPC

分支VPCA路由表

在私有路由表中,添加 0.0.0.0/0 到 Transit Gateway ID。

分支VPCB路由表

在私有路由表中,添加 0.0.0.0/0 到 Transit Gateway ID。

出口VPC路由表

在出口公共路由表中,将 Spoke and Spoke VPCB CIDR 区块添加到 Transit Gateway ID 中。VPCA对私有子网重复相同步骤。

AWS DevOps
任务描述所需技能

更新防火墙的日志配置。

  1. 登录AWS管理控制台并打开 Amazon VPC 控制台

  2. 在导航窗格中的 Network Firewall 下,选择防火墙

  3. Firewalls 页面,选择要修改的防火墙名称。

  4. 选择防火墙详细信息选项卡。在 日志记录 部分中,选择 Edit (编辑)

  5. 根据需要调整日志类型选择。您可为警报和流日志配置日志记录。

    • 警报-发送与操作设置为警报丢弃的任何状态规则相匹配的流量日志。有关状态规则和规则组的更多信息,请参阅 Network Fi re AWS wall 中的规则组

    • 流 – 发送无状态引擎转发到有状态规则引擎的所有网络流量的日志。

  6. 对于每个选定的日志类型,选择目标类型,然后提供日志记录目标的信息。有关更多信息,请参阅 AWSNetwork Firewall 文档中的网络防火墙日志记录目标

  7. 选择保存

AWS DevOps
任务描述所需技能

启动EC2实例以测试设置。

在分支中@@ 启动两个亚马逊弹性计算云 (AmazonEC2) 实例VPC:一个用于 Jumpbox,一个用于测试连接。

AWS DevOps

检查指标。

指标的分组首先依据服务命名空间,然后依据每个命名空间内的各种维度组合。Network Firewall 的 CloudWatch 命名空间是AWS/NetworkFirewall

  1. 登录 AWS 管理控制台,打开 CloudWatch 控制台

  2. 在导航窗格中,选择指标

  3. 所有指标选项卡上,选择区域,然后选择 AWS/NetworkFirewall

AWS DevOps

相关资源