¿Cómo configuro un AWS Network Firewall con una puerta de enlace NAT?

8 minutos de lectura

Quiero configurar el AWS Network Firewall para inspeccionar el tráfico utilizando una puerta de enlace NAT.

Descripción breve

AWS Network Firewall proporciona un control más exhaustivo del tráfico hacia y desde los recursos de Amazon Virtual Private Cloud (Amazon VPC). Para proteger los recursos de Amazon VPC, puede desplegar los puntos de conexión del Network Firewall en sus propias subredes y dirigir el tráfico de la instancia de carga de trabajo a través de ellos. Esto se puede hacer si:

Creación de una VPC
Creación de un firewall
Configuración del enrutamiento del tráfico

Nota: Network Firewall no puede inspeccionar cargas de trabajo en la misma subred en la que están desplegados los puntos de conexión del firewall.

Resolución

Creación de una VPC

Abra la consola de Amazon VPC.
En el panel de control de la VPC, haga clic en Create VPC (Crear VPC).
EnVPC Settings (Configuración VPC), ingrese lo siguiente:
Elija VPC and more (VPC y más).
En Name tag auto-generation (Generación automática de etiquetas de nombre), ingrese un nombre para la VPC. En este ejemplo, el nombre de la VPC es Protected_VPC_10.0.0.0_16-vpc. Si se selecciona la opción Auto-generate (Generar automáticamente), el nombre se añadirá como etiqueta de nombre a todos los recursos de la VPC.
En el IPv4 CIDR block (Bloque CIDR IPv4), introduzca 10.0.0.0/16.
En el IPv6 CIDR block (Bloque IPv6 CIDR), seleccione No IPv6 CIDR block (Sin bloque IPv6 CIDR).
En Tenancy (Tenencia), elija Default (Predeterminado).
En Number of Availability Zones (AZs) (Número de zonas de disponibilidad [AZ]), seleccione 2.
En Customize AZs (Personalizar zonas de disponibilidad), elija dos zonas de disponibilidad. En este ejemplo, se seleccionan us-east-2a y us-east-2b.
En Number of public subnets (Número de subredes públicas), elija 2**.**
En Number of private subnets (Número de subredes privadas), elija 4. Dos de las subredes privadas son para el firewall y dos son para las subredes de carga de trabajo.
En NAT gateways ($) (Puertas de enlace NAT [$]), elija 1 por zona de disponibilidad. Las puertas de enlace NAT se despliegan automáticamente en las subredes públicas.
En VPC endpoints (Puntos de conexión de VPC), seleccione None (Ninguno).
Elija Create VPC (Crear VPC).
Asigne un nombre a las subredes en función de su finalidad:
Las dos subredes públicas son para las puertas de enlace NAT y en este ejemplo se denominan Public_Subnet_AZa y Public_Subnet_AZb.
De las subredes privadas, dos son para los puntos de conexión del firewall y en este ejemplo se denominan Firewall_Subnet_AZa y Firewall_Subnet_AZb.
Las otras dos subredes privadas son para los puntos de conexión de la carga de trabajo y en este ejemplo se denominan Private_Subnet_AZa y Private_Subnet****_AZb.

Crear un firewall

En el panel de navegación, en Network Firewall, seleccione Firewalls.
Seleccione Create firewall (Crear firewall).
En Create firewall (Crear firewall), ingrese lo siguiente:
Ingrese un nombre para el firewall. En este ejemplo, el firewall se denomina Network-Firewall-Test.
En VPC, elija Protected_VPC_10.0.0.0_16-VPC.
En Firewall subnets (Subredes de Firewall), elija como primera zona de disponibilidad (us-east-2a) y como subred Firewall_Subnet_AZa. A continuación, seleccione Add new subnet (Agregar nueva subred) y repita para la segunda zona de disponibilidad (us-east-2b) y para la subred Firewall_Subnet_AZb.
En Associated firewall policy (Política de firewall asociada), seleccione Create and associate an empty firewall policy (Crear y asociar una política de firewall vacía).
En New firewall policy name (Nuevo nombre de política de firewall), ingrese un nombre para la nueva política.
Seleccione Create firewall (Crear firewall). Cada subred debe tener una tabla de enrutamiento única. Las cuatro subredes privadas tienen asociada una tabla de enrutamiento única, mientras que las subredes públicas comparten una tabla de enrutamiento. Debe crear una nueva tabla de enrutamiento con una ruta estática a una puerta de enlace de Internet y asociarla a una de las subredes públicas.

Configurar el enrutamiento del tráfico

El tráfico fluye de la siguiente manera:

El tráfico iniciado desde la instancia de carga de trabajo en AZa se reenvía al punto de conexión del cortafuegos en AZa.
El punto de conexión del firewall en AZa dirigirá el tráfico a la puerta de enlace NAT en AZa.
La puerta de enlace NAT en AZa reenvía el tráfico a la puerta de enlace de Internet asociada a la VPC.
La puerta de enlace de Internet reenvía el tráfico a Internet.

El tráfico inverso sigue el mismo camino en sentido contrario:

El tráfico inverso procedente de Internet llega a la puerta de enlace de Internet conectada a la VPC. Solo puede haber una puerta de enlace de Internet asociada a una VPC.
La puerta de enlace de Internet reenvía el tráfico a la puerta de enlace NAT de AZa. La puerta de enlace de Internet toma esta decisión basándose en la zona de disponibilidad de la carga de trabajo. Como el destino del tráfico está en AZa, la puerta de enlace de Internet elige la puerta de enlace NAT en AZa para reenviar el tráfico. No es necesario mantener una tabla de enrutamiento para la puerta de enlace de Internet.
La puerta de enlace NAT en AZa reenvía el tráfico al punto de conexión del firewall en AZa.
El punto de conexión del firewall en AZa reenvía el tráfico a la carga de trabajo en AZa.

Nota: Las puertas de enlace de Internet pueden identificar la puerta de enlace NAT para los paquetes que vuelven de Internet a las instancias de carga de trabajo.

Después de crear la VPC y el firewall, debe configurar las tablas de enrutamiento. Al configurar las tablas de enrutamiento, tenga en cuenta lo siguiente:

La subred privada en AZa (Private_Subnet_AZa) reenvía todo el tráfico destinado a Internet al punto de conexión del firewall en AZa (Firewall_Subnet_AZa). Esto se repite con la subred privada en AZb y el punto de conexión del firewall en AZb.
La subred del firewall en AZa (Firewall_Subnet_AZa) reenvía todo el tráfico destinado a Internet a una puerta de enlace NAT en AZa (Public_subnet_AZa). Esto se repite con la subred del firewall en AZb y la puerta de enlace NAT en AZb.
La subred pública en AZa (Public_Subnet_AZa) reenvía todo el tráfico a la puerta de enlace de Internet asociada a la VPC.
El tráfico de retorno sigue el mismo camino a la inversa.

Nota: El tráfico se mantiene en la misma zona de disponibilidad para que el firewall de red dirija tanto el tráfico de salida como el de entrada a través del mismo punto de conexión del firewall. Esto permite que los puntos de conexión del firewall de cada zona de disponibilidad realicen inspecciones de estado de los paquetes.

A continuación se muestran ejemplos de configuración de las tablas de enrutamiento.

Public_Subnet_RouteTable_AZa (asociación de subredes: Public_Subnet_AZa)

Destino	Objetivo
0.0.0.0/0	Puerta de enlace de Internet
10.0.0.0/16	Local
10.0.128.0/20	Punto de conexión del firewall en AZa

Nota: En este ejemplo, 10.0.128.0/20 es el CIDR de Private_subnet_AZa.

Public_Subnet_RouteTable_AZb (asociación de subredes: Public_Subnet_AZb)

Destino	Objetivo
0.0.0.0/0	Puerta de enlace de Internet
10.0.0.0/16	Local
10.0.16.0/20	Punto de conexión del firewall en AZa

Nota: En este ejemplo, 10.0.16.0/20 es el CIDR de Private_subnet_AZb.

Firewall_Subnet_RouteTable_AZa (asociación de subredes: Firewall_Subnet_AZa)

Destino	Objetivo
0.0.0.0/0	Puerta de enlace NAT en Public_Subnet_AZa
10.0.0.0/16	Local

Firewall_Subnet_RouteTable_AZb (asociación de subredes: Firewall_Subnet_AZb)

Destino	Objetivo
0.0.0.0/0	Puerta de enlace NAT en Public_Subnet_AZa
10.0.0.0/16	Local

Private_Subnet_RouteTable_AZa (asociación de subredes: Private_Subnet_AZa)

Destino	Objetivo
0.0.0.0/0	Punto de conexión del firewall en AZa
10.0.0.0/16	Local

Private_Subnet_RouteTable_AZb (asociación de subredes: Private_Subnet_AZb)

Destino	Objetivo
0.0.0.0/0	Punto de conexión del firewall en AZb
10.0.0.0/16	Local

Para comprobar si el enrutamiento se ha configurado correctamente, puede desplegar una instancia EC2 en una de las subredes privadas para probar la conectividad a Internet. Si no se configura ninguna regla en la política del firewall de red, el tráfico no se inspeccionará y podrá llegar a Internet. Después de confirmar que el enrutamiento, el grupo de seguridad y las listas de control de acceso a la red (ACL de la red) están configurados, agregue reglas a la política del firewall.

Nota: También puede configurar el firewall de red para dirigir el tráfico de Internet a través del firewall y, a continuación, a la puerta de enlace NAT. Para obtener más información, consulte Arquitectura con una puerta de enlace de Internet y una puerta de enlace NAT.

Información relacionada

Logging and monitoring in AWS Network Firewall (Registro y monitorización en AWS Network Firewall)

Route table concepts (Conceptos de tabla de encaminamiento)

Deployment models for AWS Network Firewall with VPC routing enhancements (Modelos de despliegue para AWS Network Firewall con mejoras de enrutamiento VPC)

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Network Firewall

Idioma

Español

OFICIAL DE AWSActualizada hace un mes

Contenido relevante

¿Cómo puedo supervisar mi puerta de enlace de tránsito y Site-to-Site VPN en una puerta de enlace de tránsito con Network Manager?
OFICIAL DE AWSActualizada hace 8 meses
¿Cuál es el comportamiento de asociación de la ACL web para las políticas de AWS WAF y AWS WAF Classic de AWS Firewall Manager?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo se solucionan los problemas de conectividad desde las instalaciones a la VPC a través de Transit Gateway?
OFICIAL DE AWSActualizada hace 8 meses
¿Por qué mi instancia de Amazon EC2 en una subred privada no puede conectarse a Internet con una puerta de enlace NAT?
OFICIAL DE AWSActualizada hace un año