¿Cómo configuro un AWS Network Firewall con una puerta de enlace NAT?
Quiero configurar mi AWS Network Firewall para inspeccionar el tráfico mediante una puerta de enlace NAT.
Breve descripción
AWS Network Firewall proporciona un control más detallado sobre el tráfico hacia y desde los recursos de su Amazon Virtual Private Cloud (Amazon VPC). Para proteger sus recursos de Amazon VPC, puede implementar sus puntos de conexión de Network Firewall en sus propias subredes y enrutar el tráfico de instancias de carga de trabajo a través de ellas. Esto se puede hacer de la siguiente manera:
- Creación de una VPC
- Creación de un firewall
- Configuración del enrutamiento del tráfico
Nota: Network Firewall no puede inspeccionar las cargas de trabajo en la misma subred donde se implementan los puntos de conexión del firewall.
Resolución
Creación de una VPC
- Abra la consola de Amazon VPC.
- En el panel de VPC, haga clic en Crear una VPC.
- En Configuración de la VPC, introduzca lo siguiente:
Elija VPC y más.
En Generación automática de etiquetas de nombre, introduzca un nombre para la VPC. Para este ejemplo, la VPC se denomina Protected_VPC_10.0.0.0_16-vpc. Si se selecciona la opción Generar automáticamente, el nombre se añadirá como etiqueta de nombre a todos los recursos de la VPC.
Para el bloque de CIDR de IPv4, escriba 10.0.0.0/16.
Para el bloque de CIDR de IPv6, elija Sin bloque de CIDR de IPv6.
En Tenencia, elija Predeterminada.
En Número de zonas de disponibilidad (AZ), elija 2.
En Personalizar las zonas de disponibilidad, elija dos zonas de disponibilidad. Para este ejemplo, se seleccionan us-east-2a y us-east-2b.
En Número de subredes públicas, elija 2.
En Número de subredes privadas, elija 4. Dos de las subredes privadas son para el firewall y dos para las subredes de carga de trabajo.
En Puertas de enlace NAT ($), elija 1 por zona de disponibilidad. Las puertas de enlace NAT se implementan automáticamente en las subredes públicas.
En Puntos de conexión de VPC, elija Ninguno. - Elija Crear VPC.
- Asigne un nombre a las subredes según su propósito:
Las dos subredes públicas son para las puertas de enlace NAT y, en este ejemplo, se denominan Public_Subnet_AZa y Public_Subnet_AZb.
Para las subredes privadas, dos son para los puntos de conexión del firewall y, en este ejemplo, se denominan Firewall_Subnet_AZa y Firewall_Subnet_AZb.
Las otras dos subredes privadas son para los puntos de conexión de la carga de trabajo y, en este ejemplo, se denominan Private_Subnet_AZa y Private_Subnet_AZb.
Creación de un firewall
- En el panel de navegación, en Network Firewall, elija Firewalls.
- Elija Crear firewall.
- En Crear firewall, introduzca lo siguiente:
Introduzca un nombre para el firewall. En este ejemplo, el firewall se denomina Network-Firewall-Test.
Para VPC, elija Protected_VPC_10.0.0.0_16-vpc.
Para Subredes de firewall, elija la primera zona de disponibilidad (us-east-2a) y Firewall_Subnet_AZa para la subred. A continuación, elija Agregar nueva subred y repita el procedimiento para la segunda zona de disponibilidad (us-east-2b) y elija Firewall_Subnet_AZb para la subred.
En Política de firewall asociada, elija Crear y asociar una política de firewall vacía.
En Nuevo nombre de política de firewall, introduzca un nombre para la nueva política. - Elija Crear firewall. Cada subred debe tener una tabla de enrutamiento única. Las cuatro subredes privadas tienen asociada una tabla de enrutamiento única, mientras que las subredes públicas comparten una tabla de enrutamiento. Tiene que crear una nueva tabla de enrutamiento con una ruta estática a una puerta de enlace de Internet y asociarla a una de las subredes públicas.
Configuración del enrutamiento del tráfico
El tráfico fluye de la siguiente manera:
- El tráfico iniciado desde una instancia de carga de trabajo en AZa se reenvía al punto de conexión del firewall en AZa.
- El punto de conexión del firewall en AZa enrutará el tráfico a la puerta de enlace NAT en AZa.
- La puerta de enlace NAT en AZa reenvía el tráfico a la puerta de enlace de Internet asociada a la VPC.
- La puerta de enlace de Internet reenvía el tráfico a Internet.
El tráfico inverso sigue la misma ruta la dirección opuesta:
- El tráfico de retorno de Internet llega a la puerta de enlace de Internet asociada a la VPC. Solo puede haber una puerta de enlace de Internet asociada a una VPC.
- La puerta de enlace de Internet reenvía el tráfico a la puerta de enlace NAT en AZa. La puerta de enlace de Internet toma esta decisión en función de la zona de disponibilidad de la carga de trabajo. Como el destino del tráfico está en AZa, la puerta de enlace de Internet selecciona la puerta de enlace NAT en AZa para reenviar el tráfico. No es necesario mantener una tabla de enrutamiento para la puerta de enlace de Internet.
- La puerta de enlace NAT en AZa reenvía el tráfico al punto de conexión del firewall en AZa.
- El punto de conexión del firewall en AZa reenvía el tráfico a la carga de trabajo en AZa.
Nota: Las puertas de enlace de Internet pueden identificar la puerta de enlace NAT para los paquetes que regresan de Internet a las instancias de carga de trabajo.
Tras crear la VPC y el firewall, debe configurar las tablas de enrutamiento. Al configurar las tablas de enrutamiento, tenga en cuenta lo siguiente:
- La subred privada en AZa (Private_Subnet_AZa) reenvía todo el tráfico destinado a Internet al punto de conexión del firewall en AZa (Firewall_Subnet_AZa). Esto se repite con la subred privada en AZb y el punto de conexión del firewall en AZb.
- La subred de firewall en AZa (Firewall_Subnet_AZa) reenvía todo el tráfico destinado a Internet a una puerta de enlace NAT en AZa (Public_Subnet_AZa). Esto se repite con la subred de firewall en AZb y la puerta de enlace NAT en AZb.
- La subred pública en AZa (Public_Subnet_AZa) reenvía todo el tráfico a la puerta de enlace de Internet asociada a la VPC.
- El tráfico de regreso sigue la misma ruta en sentido inverso.
Nota: El tráfico se mantiene en la misma zona de disponibilidad para que el firewall de la red tenga la ruta del tráfico de salida y de entrada a través del mismo punto de conexión del firewall. Esto permite que los puntos de conexión del firewall de cada zona de disponibilidad realicen inspecciones de estado de los paquetes.
Los siguientes son ejemplos de configuraciones de las tablas de enrutamiento:
Public_Subnet_RouteTable_AZa (asociación de subred: Public_Subnet_AZa)
Destino | Objetivo |
---|---|
0.0.0.0/0 | Puerta de enlace de Internet |
10.0.0.0/16 | Local |
10.0.128.0/20 | Punto de conexión del firewall en AZa |
**Nota:**En este ejemplo, 10.0.128.0/20 es el CIDR de Private_Subnet_AZa.
Public_Subnet_RouteTable_AZb (asociación de subred: Public_Subnet_AZb)
Destino | Objetivo |
---|---|
0.0.0.0/0 | Puerta de enlace de Internet |
10.0.0.0/16 | Local |
10.0.16.0/20 | Punto de conexión del firewall en AZb |
**Nota:**En este ejemplo, 10.0.16.0/20 es el CIDR de Private_Subnet_AZb.
Firewall_Subnet_RouteTable_AZa (asociación de subred: Firewall_Subnet_AZa)
Destino | Objetivo |
---|---|
0.0.0.0/0 | Puerta de enlace NAT en Public_Subnet_AZa |
10.0.0.0/16 | Local |
Firewall_Subnet_RouteTable_AZb (asociación de subred: Firewall_Subnet_AZb)
Destino | Objetivo |
---|---|
0.0.0.0/0 | Puerta de enlace NAT en Public_Subnet_AZb |
10.0.0.0/16 | Local |
Private_Subnet_RouteTable_AZa (asociación de subred: Private_Subnet_AZa)
Destino | Objetivo |
---|---|
0.0.0.0/0 | Punto de conexión del firewall en AZa |
10.0.0.0/16 | Local |
Private_Subnet_RouteTable_AZb (asociación de subred: Private_Subnet_AZb)
Destino | Objetivo |
---|---|
0.0.0.0/0 | Punto de conexión del firewall en AZb |
10.0.0.0/16 | Local |
Para comprobar si el enrutamiento se ha configurado correctamente, puede implementar una instancia de EC2 en una de sus subredes privadas para probar su conectividad a Internet. Sin no hay ninguna regla configurada en la política de firewall de red, el tráfico no se inspeccionará y puede llegar a Internet. Tras confirmar que el enrutamiento, grupo de seguridad y listas de control de acceso de la red (ACL de la red) están configurados, añada reglas a su política de firewall.
Nota: También puede configurar Network Firewall para enrutar el tráfico de Internet a través del firewall y, a continuación, de la puerta de enlace NAT. Para obtener más información, consulte Architecture with an internet gateway and a NAT gateway.
Información relacionada
Logging and monitoring in AWS Network Firewall
Conceptos de las tablas de enrutamiento
Deployment models for AWS Network Firewall with VPC routing enhancements
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años