¿Cómo configuro un AWS Network Firewall con una puerta de enlace NAT?

8 minutos de lectura
0

Quiero configurar mi AWS Network Firewall para inspeccionar el tráfico mediante una puerta de enlace NAT.

Breve descripción

AWS Network Firewall proporciona un control más detallado sobre el tráfico hacia y desde los recursos de su Amazon Virtual Private Cloud (Amazon VPC). Para proteger sus recursos de Amazon VPC, puede implementar sus puntos de conexión de Network Firewall en sus propias subredes y enrutar el tráfico de instancias de carga de trabajo a través de ellas. Esto se puede hacer de la siguiente manera:

  • Creación de una VPC
  • Creación de un firewall
  • Configuración del enrutamiento del tráfico

Nota: Network Firewall no puede inspeccionar las cargas de trabajo en la misma subred donde se implementan los puntos de conexión del firewall.

Resolución

Creación de una VPC

  1. Abra la consola de Amazon VPC.
  2. En el panel de VPC, haga clic en Crear una VPC.
  3. En Configuración de la VPC, introduzca lo siguiente:
    Elija VPC y más.
    En Generación automática de etiquetas de nombre, introduzca un nombre para la VPC. Para este ejemplo, la VPC se denomina Protected_VPC_10.0.0.0_16-vpc. Si se selecciona la opción Generar automáticamente, el nombre se añadirá como etiqueta de nombre a todos los recursos de la VPC.
    Para el bloque de CIDR de IPv4, escriba 10.0.0.0/16.
    Para el bloque de CIDR de IPv6, elija Sin bloque de CIDR de IPv6.
    En Tenencia, elija Predeterminada.
    En Número de zonas de disponibilidad (AZ), elija 2.
    En Personalizar las zonas de disponibilidad, elija dos zonas de disponibilidad. Para este ejemplo, se seleccionan us-east-2a y us-east-2b.
    En Número de subredes públicas, elija 2.
    En Número de subredes privadas, elija 4. Dos de las subredes privadas son para el firewall y dos para las subredes de carga de trabajo.
    En Puertas de enlace NAT ($), elija 1 por zona de disponibilidad. Las puertas de enlace NAT se implementan automáticamente en las subredes públicas.
    En Puntos de conexión de VPC, elija Ninguno.
  4. Elija Crear VPC.
  5. Asigne un nombre a las subredes según su propósito:
    Las dos subredes públicas son para las puertas de enlace NAT y, en este ejemplo, se denominan Public_Subnet_AZa y Public_Subnet_AZb.
    Para las subredes privadas, dos son para los puntos de conexión del firewall y, en este ejemplo, se denominan Firewall_Subnet_AZa y Firewall_Subnet_AZb.
    Las otras dos subredes privadas son para los puntos de conexión de la carga de trabajo y, en este ejemplo, se denominan Private_Subnet_AZa y Private_Subnet_AZb.

Creación de un firewall

  1. En el panel de navegación, en Network Firewall, elija Firewalls.
  2. Elija Crear firewall.
  3. En Crear firewall, introduzca lo siguiente:
    Introduzca un nombre para el firewall. En este ejemplo, el firewall se denomina Network-Firewall-Test.
    Para VPC, elija Protected_VPC_10.0.0.0_16-vpc.
    Para Subredes de firewall, elija la primera zona de disponibilidad (us-east-2a) y Firewall_Subnet_AZa para la subred. A continuación, elija Agregar nueva subred y repita el procedimiento para la segunda zona de disponibilidad (us-east-2b) y elija Firewall_Subnet_AZb para la subred.
    En Política de firewall asociada, elija Crear y asociar una política de firewall vacía.
    En Nuevo nombre de política de firewall, introduzca un nombre para la nueva política.
  4. Elija Crear firewall. Cada subred debe tener una tabla de enrutamiento única. Las cuatro subredes privadas tienen asociada una tabla de enrutamiento única, mientras que las subredes públicas comparten una tabla de enrutamiento. Tiene que crear una nueva tabla de enrutamiento con una ruta estática a una puerta de enlace de Internet y asociarla a una de las subredes públicas.

Configuración del enrutamiento del tráfico

El tráfico fluye de la siguiente manera:

  • El tráfico iniciado desde una instancia de carga de trabajo en AZa se reenvía al punto de conexión del firewall en AZa.
  • El punto de conexión del firewall en AZa enrutará el tráfico a la puerta de enlace NAT en AZa.
  • La puerta de enlace NAT en AZa reenvía el tráfico a la puerta de enlace de Internet asociada a la VPC.
  • La puerta de enlace de Internet reenvía el tráfico a Internet.

El tráfico inverso sigue la misma ruta la dirección opuesta:

  • El tráfico de retorno de Internet llega a la puerta de enlace de Internet asociada a la VPC. Solo puede haber una puerta de enlace de Internet asociada a una VPC.
  • La puerta de enlace de Internet reenvía el tráfico a la puerta de enlace NAT en AZa. La puerta de enlace de Internet toma esta decisión en función de la zona de disponibilidad de la carga de trabajo. Como el destino del tráfico está en AZa, la puerta de enlace de Internet selecciona la puerta de enlace NAT en AZa para reenviar el tráfico. No es necesario mantener una tabla de enrutamiento para la puerta de enlace de Internet.
  • La puerta de enlace NAT en AZa reenvía el tráfico al punto de conexión del firewall en AZa.
  • El punto de conexión del firewall en AZa reenvía el tráfico a la carga de trabajo en AZa.

Nota: Las puertas de enlace de Internet pueden identificar la puerta de enlace NAT para los paquetes que regresan de Internet a las instancias de carga de trabajo.

Tras crear la VPC y el firewall, debe configurar las tablas de enrutamiento. Al configurar las tablas de enrutamiento, tenga en cuenta lo siguiente:

  • La subred privada en AZa (Private_Subnet_AZa) reenvía todo el tráfico destinado a Internet al punto de conexión del firewall en AZa (Firewall_Subnet_AZa). Esto se repite con la subred privada en AZb y el punto de conexión del firewall en AZb.
  • La subred de firewall en AZa (Firewall_Subnet_AZa) reenvía todo el tráfico destinado a Internet a una puerta de enlace NAT en AZa (Public_Subnet_AZa). Esto se repite con la subred de firewall en AZb y la puerta de enlace NAT en AZb.
  • La subred pública en AZa (Public_Subnet_AZa) reenvía todo el tráfico a la puerta de enlace de Internet asociada a la VPC.
  • El tráfico de regreso sigue la misma ruta en sentido inverso.

Nota: El tráfico se mantiene en la misma zona de disponibilidad para que el firewall de la red tenga la ruta del tráfico de salida y de entrada a través del mismo punto de conexión del firewall. Esto permite que los puntos de conexión del firewall de cada zona de disponibilidad realicen inspecciones de estado de los paquetes.

Los siguientes son ejemplos de configuraciones de las tablas de enrutamiento:

Public_Subnet_RouteTable_AZa (asociación de subred: Public_Subnet_AZa)

DestinoObjetivo
0.0.0.0/0Puerta de enlace de Internet
10.0.0.0/16Local
10.0.128.0/20Punto de conexión del firewall en AZa

**Nota:**En este ejemplo, 10.0.128.0/20 es el CIDR de Private_Subnet_AZa.

Public_Subnet_RouteTable_AZb (asociación de subred: Public_Subnet_AZb)

DestinoObjetivo
0.0.0.0/0Puerta de enlace de Internet
10.0.0.0/16Local
10.0.16.0/20Punto de conexión del firewall en AZb

**Nota:**En este ejemplo, 10.0.16.0/20 es el CIDR de Private_Subnet_AZb.

Firewall_Subnet_RouteTable_AZa (asociación de subred: Firewall_Subnet_AZa)

DestinoObjetivo
0.0.0.0/0Puerta de enlace NAT en Public_Subnet_AZa
10.0.0.0/16Local

Firewall_Subnet_RouteTable_AZb (asociación de subred: Firewall_Subnet_AZb)

DestinoObjetivo
0.0.0.0/0Puerta de enlace NAT en Public_Subnet_AZb
10.0.0.0/16Local

Private_Subnet_RouteTable_AZa (asociación de subred: Private_Subnet_AZa)

DestinoObjetivo
0.0.0.0/0Punto de conexión del firewall en AZa
10.0.0.0/16Local

Private_Subnet_RouteTable_AZb (asociación de subred: Private_Subnet_AZb)

DestinoObjetivo
0.0.0.0/0Punto de conexión del firewall en AZb
10.0.0.0/16Local

Para comprobar si el enrutamiento se ha configurado correctamente, puede implementar una instancia de EC2 en una de sus subredes privadas para probar su conectividad a Internet. Sin no hay ninguna regla configurada en la política de firewall de red, el tráfico no se inspeccionará y puede llegar a Internet. Tras confirmar que el enrutamiento, grupo de seguridad y listas de control de acceso de la red (ACL de la red) están configurados, añada reglas a su política de firewall.

Nota: También puede configurar Network Firewall para enrutar el tráfico de Internet a través del firewall y, a continuación, de la puerta de enlace NAT. Para obtener más información, consulte Architecture with an internet gateway and a NAT gateway.

Información relacionada

Logging and monitoring in AWS Network Firewall

Conceptos de las tablas de enrutamiento

Deployment models for AWS Network Firewall with VPC routing enhancements

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años