Wie richte ich eine AWS Network Firewall mit einem NAT-Gateway ein?

Lesedauer: 6 Minute

Ich möchte meine AWS Network Firewall so konfigurieren, dass der Datenverkehr mithilfe eines NAT-Gateways überprüft wird.

Kurzbeschreibung

Die AWS Network Firewall bietet eine detailliertere Kontrolle über den Datenverkehr zu und von den Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC). Um Ihre Amazon-VPC-Ressourcen zu schützen, können Sie Ihre Netzwerk-Firewall-Endpunkte in ihren eigenen Subnetzen bereitstellen und den Workload-Instance-Verkehr durch sie leiten. Dies kann erfolgen, durch:

Erstellen einer VPC
Erstellen einer Firewall
Konfiguration des Verkehrsroutings

Hinweis: Die Netzwerk-Firewall kann Workloads in demselben Subnetz, in dem die Firewall-Endpunkte bereitgestellt sind, nicht überprüfen.

Lösung

Erstellen einer VPC

Öffnen Sie die Amazon-VPC-Konsole.
Klicken Sie im VPC-Dashboard auf VPC erstellen.
Geben Sie unter VPC-Einstellungen Folgendes ein:
Wählen Sie VPC und mehr.
Geben Sie unter Automatische Generierung von Namenstags einen Namen für die VPC ein. In diesem Beispiel hat die VPC den Namen Protected_VPC_10.0.0.0_16-vpc. Wenn die Option Automatisch generieren ausgewählt ist, wird der Name allen Ressourcen in der VPC als Namensschild hinzugefügt.
Geben Sie für den IPv4-CIDR-Block****10.0.0.0/16 ein.
Wählen Sie für denIPv6-CIDR-Block die Option Kein IPv6-CIDR-Block aus.
Wählen Sie für Tenancy die Option Standard aus.
Wählen Sie für Anzahl der Availability Zones (AZs) den Wert 2 aus.
Wählen Sie unter Benutzerdefinierte AZs zwei Availability Zones aus. Für dieses Beispiel werden us-east-2a und us-east-2b ausgewählt.
Wählen Sie für Anzahl der öffentlichen Subnetze den Wert2 aus**.**
Wählen Sie fürAnzahl der privaten Subnetze die Option4 aus. Zwei der privaten Subnetze sind für die Firewall und zwei für die Workload-Subnetze.
Wählen Sie für **NAT-Gateways ($)**1 pro AZ aus. Die NAT-Gateways werden automatisch in den öffentlichen Subnetzen bereitgestellt.
Wählen Sie für VPC-Endpunkte die Option Keine aus.
Wählen Sie VPC erstellen aus.
Benennen Sie die Subnetze entsprechend ihrem Zweck:
Die beiden öffentlichen Subnetze sind für die NAT-Gateways bestimmt und heißen in diesem Beispiel Public_Subnet_AZa und Public_Subnet_AZb.
Für die privaten Subnetze sind zwei für die Firewall-Endpunkte bestimmt und heißen in diesem Beispiel Firewall_Subnet_AZa und Firewall_Subnet_AZb.
Die anderen beiden privaten Subnetze sind für die Workload-Endpunkte bestimmt und heißen in diesem Beispiel Private_Subnet_AZa und Private_Subnet ****_AZb.

Firewall erstellen

Wählen Sie im Navigationsbereich unter Netzwerk-Firewall die Option Firewalls aus.
Wählen Sie Firewall erstellen aus.
Geben Sie unter Firewall erstellen Folgendes ein:
Geben Sie einen Namen für die Firewall ein. In diesem Beispiel heißt die Firewall Network-Firewall-Test.
Wählen Sie für VPC****Protected_VPC_10.0.0.0_16-vpc aus.
Wählen Sie für Firewall-Subnetze die erste Availability Zone (us-east-2a) und für das Subnetz Firewall_Subnet_AZa aus. Wählen Sie dann Neues Subnetz hinzufügen und wiederholen Sie den Vorgang für die zweite Availability Zone (us-east-2b) und wählen Sie Firewall_Subnet_AZb für das Subnetz.
Wählen Sie für Zugeordnete Firewallrichtlinie die Option Eine leere Firewallrichtlinie erstellen und zuordnen aus.
Geben Sie unter Neuer Firewall-Richtlinienname einen Namen für die neue Richtlinie ein.
Wählen Sie Firewall erstellen aus. Jedes Subnetz muss eine eindeutige Routingtabelle haben. Den vier privaten Subnetzen ist eine eindeutige Routingtabelle zugeordnet, während sich die öffentlichen Subnetze eine Routingtabelle teilen. Sie müssen eine neue Routingtabelle mit einer statischen Route zu einem Internet-Gateway erstellen und sie einem der öffentlichen Subnetze zuordnen.

Traffic-Routing konfigurieren

Der Verkehr fließt wie folgt:

Der von der Workload-Instance in AZa initiierte Datenverkehr wird an den Firewall-Endpunkt in AZa weitergeleitet.
Der Firewall-Endpunkt in AZa leitet den Datenverkehr an das NAT-Gateway in AZa weiter.
Das NAT-Gateway in AZa leitet den Datenverkehr an das Internet-Gateway weiter, das der VPC zugeordnet ist.
Das Internet-Gateway leitet den Datenverkehr an das Internet weiter.

Der umgekehrte Verkehr folgt demselben Weg in die entgegengesetzte Richtung:

Der Rückverkehr aus dem Internet erreicht das an die VPC angeschlossene Internet-Gateway. An eine VPC kann nur ein Internet-Gateway angeschlossen sein.
Das Internet-Gateway leitet den Datenverkehr an das NAT-Gateway in AZa weiter. Das Internet-Gateway trifft diese Entscheidung auf der Grundlage der Workload-Availability-Zone. Da das Ziel des Datenverkehrs in AZa liegt, wählt das Internet-Gateway das NAT-Gateway in AZa aus, um den Verkehr weiterzuleiten. Es ist nicht erforderlich, eine Routing-Tabelle für das Internet-Gateway zu führen.
Das NAT-Gateway in AZa leitet den Datenverkehr an den Firewall-Endpunkt in AZa weiter.
Der Firewall-Endpunkt in AZa leitet den Datenverkehr an den Workload in AZa weiter.

Hinweis: Internet-Gateways können das NAT-Gateway für Pakete identifizieren, die vom Internet zu den Workload-Instances zurückkehren.

Nachdem Sie die VPC und die Firewall erstellt haben, müssen Sie die Routing-Tabellen konfigurieren. Beachten Sie bei der Konfiguration der Routing-Tabellen Folgendes:

Das private Subnetz in AZa (Private_Subnet_AZa) leitet den gesamten Datenverkehr, der für das Internet bestimmt ist, an den Firewall-Endpunkt in AZa (Firewall_Subnet_AZa) weiter. Dies wird mit dem privaten Subnetz in AZb und dem Firewall-Endpunkt in AZb wiederholt.
Das Firewall-Subnetz in AZa (Firewall_Subnet_AZa) leitet den gesamten Datenverkehr, der für das Internet bestimmt ist, an ein NAT-Gateway in AZa (Public_Subnet_AZa) weiter. Dies wiederholt sich mit dem Firewall-Subnetz in AZb und dem NAT-Gateway in AZb.
Das öffentliche Subnetz in AZa (Public_Subnet_AZa) leitet den gesamten Datenverkehr an das an die VPC angeschlossene Internet-Gateway weiter.
Der Rückverkehr folgt demselben Weg in umgekehrter Richtung.

Hinweis: Der Datenverkehr wird in derselben Availability Zone gehalten, sodass die Netzwerk-Firewall sowohl die Route des ausgehenden als auch des eingehenden Datenverkehrs über denselben Firewall-Endpunkt hat. Dadurch können die Firewall-Endpunkte in jeder Availability Zone die Pakete nach dem Status überprüfen.

Im Folgenden finden Sie Beispielkonfigurationen der Routingtabellen.

Public_Subnet_RouteTable_AZa (Subnetzzuordnung: Public_Subnet_AZa)

Ziel	Ziel
0.0.0.0/0	Internet-Gateway
10.0.0.0/16	Lokal
10.0.128.0/20	Firewall-Endpunkt in AZa

Hinweis: In diesem Beispiel ist 10.0.128.0/20 der CIDR von Private_Subnet_AZa.

Public_Subnet_RouteTable_AZb (Subnetzzuordnung: Public_Subnet_AZb)

Ziel	Ziel
0.0.0.0/0	Internet-Gateway
10.0.0.0/16	Lokal
10.0.16.0/20	Firewall-Endpunkt in AZa

Hinweis: In diesem Beispiel ist 10.0.16.0/20 der CIDR von Private_Subnet_AZb.

Firewall_Subnet_RouteTable_AZa (Subnetzzuordnung: Firewall_Subnet_AZa)

Ziel	Ziel
0.0.0.0/0	NAT-Gateway in public_subnet_AZa
10.0.0.0/16	Lokal

Firewall_Subnet_RouteTable_AZb (Subnetzzuordnung: Firewall_Subnet_AZb)

Ziel	Ziel
0.0.0.0/0	NAT-Gateway in public_subnet_AZa
10.0.0.0/16	Lokal

private_subnet_RouteTable_AZa (Subnetzzuordnung: Private_Subnet_AZa)

Ziel	Ziel
0.0.0.0/0	Firewall-Endpunkt in AZa
10.0.0.0/16	Lokal

private_subnet_RouteTable_AZb (Subnetzzuordnung: Private_Subnet_AZb)

Ziel	Ziel
0.0.0.0/0	Firewall-Endpunkt in AZb
10.0.0.0/16	Lokal

Um zu überprüfen, ob Ihr Routing korrekt konfiguriert wurde, können Sie eine EC2-Instance in einem Ihrer privaten Subnetze bereitstellen, um Ihre Internetverbindung zu testen. Ohne die in der Netzwerk-Firewall-Richtlinie konfigurierten Regeln wird der Datenverkehr nicht überprüft und kann das Internet erreichen. Nachdem Sie bestätigt haben, dass Ihre Routing-, Sicherheitsgruppen- und Netzwerkzugriffskontrolllisten (Netzwerk-ACLs) konfiguriert sind, fügen Sie Ihrer Firewallrichtlinie Regeln hinzu.

Hinweis: Sie können die Netzwerk-Firewall auch so einrichten, dass der Datenverkehr aus dem Internet über die Firewall und dann über das NAT-Gateway geleitet wird. Weitere Informationen finden Sie unter Architektur mit einem Internet-Gateway und einem NAT-Gateway.

Relevanter Inhalt

Warum hat AWS Global Accelerator ein Failover zu einem Endpunkt in einer anderen Region durchgeführt?
AWS OFFICIALAktualisiert vor 2 Monaten
Wie überwache ich mein Transit-Gateway und Site-to-Site-VPN auf einem Transit-Gateway mit Network Manager?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie ist das Verhalten der Web-ACL-Zuordnung für die klassischen AWS-Firewall-Manager-AWS-WAF- und AWS-WAF-Richtlinien?
AWS OFFICIALAktualisiert vor 8 Monaten
Wie behebe ich Probleme bei der Network-Manager-Registrierung und Ereignisüberwachung?
AWS OFFICIALAktualisiert vor 7 Monaten