本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用第三方設備進行集中檢查
在此架構設計模式中,您可以在 Amazon EC2 上跨 Elastic Load Balancer (ELB) 後面的多個可用區域 (例如應用程式/Network Load Balancer) 在個別的檢驗 VPC 中部署第三方防火牆設備。
檢測 VPC 以及其他輻條 VPC 會透過 Transit Gateway 作為 VPC 附件連接在一起。輻條 VPC 中的應用程式是內部 ELB 的前端,視應用程式類型而定,可以是 ALB 或 NLB。透過網際網路的用戶端會連線至檢查 VPC 中的外部 ELB 的 DNS,該檢查 VPC 會將流量路由傳送至其中一個防火牆應用裝置。防火牆會檢查流量,然後使用內部 ELB 的 DNS,透過 Transit Gateway 將流量路由至支點 VPC,如下圖所示。如需使用第三方設備進行入站安全檢查的詳細資訊,請參閱如何將第三方防火牆設備整合到 AWS 環境
使用第三方設備和 ELB 集中進入流量檢查
優點
-
此架構可支援透過協力廠商防火牆設備提供的任何應用程式類型的檢測和進階檢測功能。
-
此病毒碼支援從防火牆應用裝置到支點 VPC 的 DNS 路由,這可讓網輻 VPC 中的應用程式在 ELB 之後獨立擴充。
-
您可以將 Auto Scaling 與 ELB 搭配使用,以擴展檢測 VPC 中的防火牆應用裝置。
關鍵考量
-
您需要跨可用區域部署多個防火牆應用裝置,以獲得高可用性。
-
防火牆必須設定並執行來源 NAT,才能維持流程對稱性,這表示應用程式將看不到用戶端 IP 位址。
-
請考慮在網路服務帳戶中部署 Transit Gateway 和檢查 VPC。
-
其他協力廠商防火牆授權/支援費用。Amazon EC2 費用取決於執行個體類型。
