Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie richte ich eine AWS-Netzwerk-Firewall mit einem NAT-Gateway ein?

Lesedauer: 7 Minute
0

Ich möchte meine AWS-Netzwerk-Firewall so konfigurieren, dass sie den Datenverkehr mithilfe eines NAT-Gateways überprüft.

Kurzbeschreibung

Die AWS Network Firewall bietet eine detailliertere Kontrolle über den Datenverkehr zu und von den Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC). Um Ihre Amazon VPC-Ressourcen zu schützen, können Sie Ihre Network Firewall-Endpunkte in ihren eigenen Subnetzen bereitstellen und den Workload-Instance-Verkehr durch sie leiten. Dies kann wie folgt geschehen:

  • Eine VPC erstellen
  • Eine Firewall erstellen
  • Ein Verkehrsrouting konfigurieren

Hinweis: Die Netzwerk-Firewall kann keine Workloads in demselben Subnetz überprüfen, in dem die Firewall-Endpunkte bereitgestellt werden.

Lösung

Eine VPC erstellen

  1. Öffnen Sie die Amazon VPC-Konsole.
  2. Klicken Sie im VPC-Dashboard auf Create VPC (VPC erstellen).
  3. Geben Sie unter VPC settings (VPC-Einstellungen) Folgendes ein:
    Wählen Sie VPC and more (VPC und mehr).
    Geben Sie unter Name tag auto-generation (Automatische Generierung von Namens-Tags) einen Namen für die VPC ein. In diesem Beispiel heißt die VPC Protected_VPC_10.0.0.0_16-vpc. Wenn die Option Auto-generate (Automatisch generieren) ausgewählt ist, wird der Name als Namens-Tag zu allen Ressourcen in der VPC hinzugefügt.
    Geben Sie für den IPv4 CIDR block 10.0.0.0/16 ein.
    Wählen Sie für IPv6 CIDR block die Option No IPv6 CIDR block (Kein IPv6-CIDR-Block) aus.
    Wählen Sie für Tenancy die Option Default (Standard) aus.
    Wählen Sie für Number of Availability Zones (AZs) (Anzahl der Availability Zones (AZs)) 2 aus.
    Wählen Sie unter Customize AZs (AZs anpassen) zwei Availability Zones aus. In diesem Beispiel wurden us-east-2a und us-east-2b ausgewählt.
    Wählen Sie für Number of public subnets (Anzahl der öffentlichen Subnetze) 2 aus.
    Wählen Sie für Number of private subnets (Anzahl der privaten Subnetze) 4. Zwei der privaten Subnetze sind für die Firewall und zwei für die Workload-Subnetze bestimmt.
    Wählen Sie für NAT-Gateways ($) 1 per AZ (1 pro AZ). Die NAT-Gateways werden automatisch in den öffentlichen Subnetzen bereitgestellt.
    Wählen Sie für VPC endpoints (VPC-Endpunkte) None (Keine).
  4. Wählen Sie Create VPC (VPC erstellen) aus.
  5. Benennen Sie die Subnetze entsprechend ihrem Zweck:
    Die beiden öffentlichen Subnetze sind für die NAT-Gateways bestimmt und heißen in diesem Beispiel Public_Subnet_AZa und Public_Subnet_AZb.
    Für die privaten Subnetze sind zwei für die Firewall-Endpunkte vorgesehen und heißen in diesem Beispiel Firewall_Subnet_AZa und Firewall_Subnet_AZb.
    Die anderen beiden privaten Subnetze sind für die Workload-Endpunkte vorgesehen und heißen in diesem Beispiel Private_Subnet_AZa und Private_Subnet_AZb.

Erstellen Sie eine Firewall

  1. Wählen Sie im Navigationsbereich unter Network Firewall (Netzwerk-Firewall) die Option Firewalls aus.
  2. Wählen Sie Create firewall (Firewall erstellen).
  3. Geben Sie unterCreate firewall (Firewall erstellen) Folgendes ein:
    Geben Sie einen Namen für die Firewall ein. In diesem Beispiel heißt die Firewall Network-Firewall-Test.
    Wählen Sie für VPC Protected_VPC_10.0.0.0_16-vpc.
    Wählen Sie für Firewall-Subnetzs die erste Availability Zone (us-east-2a) und wählen Sie Firewall_Subnet_AZa für das Subnetz. Wählen Sie dann Add new subnet (Neues Subnetz hinzufügen), wiederholen Sie den Vorgang für die zweite Availability Zone (us-east-2b) und wählen Sie Firewall_Subnet_AZb für das Subnetz.
    Wählen Sie unter Associated firewall policy (Zugeordnete Firewallrichtlinie) die Option Create and associate an empty firewall policy (Leere Firewallrichtlinie erstellen und verknüpfen).
    Geben Sie unter New firewall policy name (Name der neuen Firewallrichtlinie) einen Namen für die neue Richtlinie ein.
  4. Wählen Sie Create firewall (Firewall erstellen). Jedes Subnetz muss über eine eindeutige Routingtabelle verfügen. Den vier privaten Subnetzen ist eine eindeutige Routingtabelle zugeordnet, während die öffentlichen Subnetze eine Routingtabelle gemeinsam nutzen. Sie müssen eine neue Routingtabelle mit einer statischen Route zu einem Internet-Gateway erstellen und sie einem der öffentlichen Subnetze zuordnen.

Konfigurieren Sie das Verkehrsrouting

Der Verkehr fließt wie folgt:

  • Der von der Workload-Instance in AZa initiierte Datenverkehr wird an den Firewall-Endpunkt in AZa weitergeleitet.
  • Der Firewall-Endpunkt in AZa leitet den Datenverkehr an das NAT-Gateway in AZa weiter.
  • Das NAT-Gateway in AZa leitet den Datenverkehr an das der VPC zugeordnete Internet-Gateway weiter.
  • Das Internet-Gateway leitet den Datenverkehr an das Internet weiter.

Der umgekehrte Verkehr folgt demselben Weg in die entgegengesetzte Richtung:

  • Der Rückverkehr aus dem Internet erreicht das an die VPC angeschlossene Internet-Gateway. An eine VPC kann nur ein Internet-Gateway angeschlossen sein.
  • Das Internet-Gateway leitet den Traffic an das NAT-Gateway in AZa weiter. Das Internet-Gateway trifft diese Entscheidung auf der Grundlage der Workload Availability Zone. Da sich das Ziel des Datenverkehrs in AZa befindet, wählt das Internet-Gateway das NAT-Gateway in AZa aus, um den Verkehr weiterzuleiten. Es ist nicht erforderlich, eine Routentabelle für das Internet-Gateway zu verwalten.
  • Das NAT-Gateway in AZa leitet den Datenverkehr an den Firewall-Endpunkt in AZa weiter.
  • Der Firewall-Endpunkt in AZa leitet den Datenverkehr an den Workload in AZa weiter.

Hinweis: Internet-Gateways können das NAT-Gateway für Pakete identifizieren, die aus dem Internet an die Workload-Instances zurückgegeben werden.

Nachdem Sie die VPC und die Firewall erstellt haben, müssen Sie die Routing-Tabellen konfigurieren. Beachten Sie bei der Konfiguration der Routing-Tabellen Folgendes:

  • Das private Subnetz in AZa (rivate_Subnet_AZa) leitet den gesamten Datenverkehr, der für das Internet bestimmt ist, an den Firewall-Endpunkt in AZa (Firewall_Subnet_AZa) weiter. Dies wird mit dem privaten Subnetz in AZb und dem Firewall-Endpunkt in AZb wiederholt.
  • Das Firewall-Subnetz in AZa (Firewall_Subnet_AZa) leitet den gesamten Datenverkehr, der für das Internet bestimmt ist, an ein NAT-Gateway in AZa (Public_Subnet_AZa) weiter. Dies wiederholt sich mit dem Firewall-Subnetz in AZb und dem NAT-Gateway in AZb.
  • Das öffentliche Subnetz in AZa (Public_Subnet_AZa) leitet den gesamten Datenverkehr an das an die VPC angeschlossene Internet-Gateway weiter.
  • Der Rückverkehr folgt dem gleichen Weg in umgekehrter Reihenfolge.

Hinweis: Der Datenverkehr wird in derselben Availability Zone gehalten, sodass die Netzwerk-Firewall sowohl den ausgehenden als auch den eingehenden Datenverkehr über denselben Firewall-Endpunkt leitet. Auf diese Weise können die Firewall-Endpunkte in jeder Availability Zone die Pakete zustandsabhängig überprüfen.

Im Folgenden finden Sie Beispielkonfigurationen der Routing-Tabellen:

Public_Subnet_RouteTable_AZa (Subnet association: Public_Subnet_AZa)

DestinationTarget
0.0.0.0/0Internet-Gateway
10.0.0.0/16Local
10.0.128.0/20Firewall-Endpunkt in AZa

Hinweis: In diesem Beispiel ist 10.0.128.0/20 das CIDR von Private_Subnet_AZa.

Public_Subnet_RouteTable_AZb (Subnet association: Public_Subnet_AZb)

DestinationTarget
0.0.0.0/0Internet-Gateway
10.0.0.0/16Local
10.0.16.0/20Firewall-Endpunkt in AZb

Hinweis: In diesem Beispiel ist 10.0.16.0/20 das CIDR von Private_Subnet_AZb.

Firewall_Subnet_RouteTable_AZa (Subnet association: Firewall_Subnet_AZa)

DestinationTarget
0.0.0.0/0NAT gateway in Public_Subnet_AZa
10.0.0.0/16Local

Firewall_Subnet_RouteTable_AZb (Subnet association: Firewall_Subnet_AZb)

DestinationTarget
0.0.0.0/0NAT gateway in Public_Subnet_AZb
10.0.0.0/16Local

Private_Subnet_RouteTable_AZa (Subnet association: Private_Subnet_AZa)

DestinationTarget
0.0.0.0/0Firewall-Endpunkt in AZa
10.0.0.0/16Local

Private_Subnet_RouteTable_AZb (Subnet association: Private_Subnet_AZb)

DestinationTarget
0.0.0.0/0Firewall-Endpunkt in AZb
10.0.0.0/16Local

Um zu überprüfen, ob Ihr Routing korrekt konfiguriert wurde, können Sie eine EC2-Instance in einem Ihrer privaten Subnetze bereitstellen, um Ihre Internetverbindung zu testen. Ohne Regeln, die in der Netzwerk-Firewall-Richtlinie konfiguriert sind, wird der Datenverkehr nicht überprüft und kann das Internet erreichen. Nachdem Sie bestätigt haben, dass Ihre Routing-, Sicherheitsgruppen- und Netzwerkzugriffskontrolllisten (Netzwerk-ACLs) konfiguriert sind, fügen Sie Ihrer Firewall-Richtlinie Regeln hinzu.

Hinweis: Sie können die Netzwerk-Firewall auch so einrichten, dass der Datenverkehr aus dem Internet durch die Firewall und dann über das NAT-Gateway geleitet wird. Weitere Informationen finden Sie unter Architektur mit einem Internet-Gateway und einem NAT-Gateway.

Ähnliche Informationen

Protokollieren und Überwachen in der AWS Network Firewall

Konzepte für Routentabellen

Bereitstellungsmodelle für AWS Network Firewall mit Verbesserungen beim VPC-Routing

Themen
Sicherheit, Identität & Konformität
Tags
AWS Network Firewall
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt