Comment configurer un AWS Network Firewall avec une passerelle NAT ?

Lecture de 7 minute(s)
0

Je souhaite configurer mon AWS Network Firewall pour inspecter le trafic à l'aide d'une passerelle NAT.

Brève description

AWS Network Firewall fournit un contrôle plus précis du trafic à destination et en provenance des ressources au sein de votre Amazon Virtual Private Cloud (Amazon VPC). Pour protéger vos ressources Amazon VPC, vous pouvez déployer vos points de terminaison de pare-feu réseau dans leurs propres sous-réseaux et acheminer le trafic des instances de charge de travail via ces derniers. Vous pouvez le faire en :

  • Créant un VPC
  • Créant un pare-feu
  • Configurant le routage du trafic

**Remarque :**Le pare-feu réseau ne peut pas inspecter les charges de travail dans le même sous-réseau que celui où les points de terminaison du pare-feu sont déployés.

Résolution

Créant un VPC

  1. Ouvrez la console Amazon VPC.
  2. Sur le tableau de bord du VPC, cliquez sur Créer un VPC.
  3. Dans les paramètres du VPC, entrez les informations suivantes :
    Choisissez VPC et plus encore.
    Sous Génération automatique de balises nominales, entrez le nom du VPC. Dans cet exemple, le VPC est nommé Protected_VPC_10.0.0.0_16-vpc. Si l'option Générer automatiquement est sélectionnée, le nom sera ajouté sous forme de balise nominative à toutes les ressources du VPC.
    Pour le bloc d'adresse CIDR IPv4, entrez 10.0.0.0/16.
    Pour le bloc d'adresse CIDR IPv6, sélectionnez Aucun bloc d'adresse CIDR IPv6.
    Pour Location, choisissez Par défaut.
    Pour Nombre de zones de disponibilité (AZ), choisissez 2.
    Sous Personnaliser les AZ, choisissez deux zones de disponibilité. Pour cet exemple, us-east-2a et us-east-2b sont sélectionnés.
    Pour Nombre de sous-réseaux publics, choisissez 2.
    Pour Nombre de sous-réseaux privés, choisissez 4. Deux des sous-réseaux privés sont destinés au pare-feu et deux aux sous-réseaux de charge de travail.
    Pour les passerelles NAT ($), choisissez 1 par zone de disponibilité. Les passerelles NAT sont déployées automatiquement dans les sous-réseaux publics.
    Pour les points de terminaison VPC, choisissez Aucun.
  4. Choisissez Créer un VPC.
  5. Nommez les sous-réseaux en fonction de leur objectif :
    Les deux sous-réseaux publics sont destinés aux passerelles NAT et sont nommés Public_Subnet_AZa et Public_Subnet_AZb pour cet exemple.
    Pour les sous-réseaux privés, deux concernent les points de terminaison du pare-feu et sont nommés Firewall_Subnet_AZa et Firewall_Subnet_AZb pour cet exemple.
    Les deux autres sous-réseaux privés sont destinés aux points de terminaison de charge de travail et sont nommés Private_Subnet_AZa et Private_Subnet_AZb pour cet exemple.

Création d'un pare-feu

  1. Dans le volet de navigation, sous Pare-feu réseau, choisissez Firewalls.
  2. Choisissez Créer un pare-feu.
  3. Sous Créer un pare-feu, saisissez ce qui suit :
    Entrez le nom du pare-feu. Dans cet exemple, le pare-feu s'appelle Network-Firewall-Test.
    Pour VPC, choisissez Protected_VPC_10.0.0.0_16-vpc.
    Pour les sous-réseaux du pare-feu, choisissez la première zone de disponibilité (us-east-2a) et choisissez Firewall_Subnet_AZa pour le sous-réseau. Ensuite, choisissez Ajouter un nouveau sous-réseau, répétez l'opération pour la deuxième zone de disponibilité (us-east-2b) et choisissez Firewall_Subnet_AZb pour le sous-réseau.
    Pour Stratégie de pare-feu associée, choisissez Créer et associez une politique de pare-feu vide.
    Pour le nom de la nouvelle politique de pare-feu, entrez le nom de la nouvelle politique.
  4. Choisissez Créer un pare-feu. Chaque sous-réseau doit disposer d'une table de routage unique. Une table de routage unique est associée aux quatre sous-réseaux privés, tandis que les sous-réseaux publics partagent une table de routage. Vous devez créer une nouvelle table de routage avec une route statique vers une passerelle Internet et l'associer à l'un des sous-réseaux publics.

Configuration du routage du trafic

Le trafic se déroule comme suit :

  • Le trafic initié à partir de l'instance de charge de travail dans AZa est transféré vers le point de terminaison du pare-feu dans AZa.
  • Le point de terminaison du pare-feu d'AZa acheminera le trafic vers la passerelle NAT d'AZa.
  • La passerelle NAT d'AZa transfère le trafic vers la passerelle Internet associée au VPC.
  • La passerelle Internet transmet le trafic vers Internet.

Le trafic inverse suit le même chemin en sens inverse :

  • Le trafic de retour en provenance d'Internet atteint la passerelle Internet connectée au VPC. Il ne peut y avoir qu'une seule passerelle Internet associée à un VPC.
  • La passerelle Internet transmet le trafic à la passerelle NAT dans AZa. La passerelle Internet prend cette décision en fonction de la zone de disponibilité de la charge de travail. Comme la destination du trafic se trouve dans AZa, la passerelle Internet choisit la passerelle NAT dans AZa pour transférer le trafic. Il n'est pas nécessaire de maintenir une table de routage pour la passerelle Internet.
  • La passerelle NAT d'AZa transfère le trafic vers le point de terminaison du pare-feu d'AZa.
  • Le point de terminaison du pare-feu d'AZa transmet le trafic à la charge de travail d'AZa.

Remarque : Les passerelles Internet peuvent identifier la passerelle NAT pour les paquets renvoyés depuis Internet vers les instances de charge de travail.

Après avoir créé le VPC et le pare-feu, vous devez configurer les tables de routage. Lorsque vous configurez les tables de routage, tenez compte des points suivants :

  • Le sous-réseau privé d’AZa (Private_Subnet_AZa) transfère tout le trafic destiné à Internet vers le point de terminaison du pare-feu d'AZa (Firewall_Subnet_AZa). Cela se répète avec le sous-réseau privé dans AZb et le point de terminaison du pare-feu dans AZb.
  • Le sous-réseau du pare-feu dans AZa (Firewall_Subnet_AZa) transfère tout le trafic destiné à Internet vers une passerelle NAT dans AZa (Public_Subnet_AZa). Cela se répète avec le sous-réseau du pare-feu dans AZb et la passerelle NAT dans AZb.
  • Le sous-réseau public d'AZa (Public_Subnet_AZa) transfère tout le trafic vers la passerelle Internet connectée au VPC.
  • Le trafic de retour suit le même chemin en sens inverse.

Remarque : Le trafic est conservé dans la même zone de disponibilité, de sorte que le pare-feu réseau gère à la fois le trafic entrant et sortant via le même point de terminaison du pare-feu. Cela permet aux points de terminaison du pare-feu de chaque zone de disponibilité d'effectuer des inspections statiques des paquets.

Voici des exemples de configuration des tables de routage :

Public_Subnet_RouteTable_AZa (Association de sous-réseaux : Public_Subnet_AZa)

DestinationCible
0.0.0.0/0Passerelle Internet
10.0.0.0/16Local
10.0.128.0/20Point de terminaison du pare-feu dans AZa

Remarque : Dans cet exemple, 10.0.128.0/20 est le CIDR de Private_Subnet_AZa.

Public_Subnet_RouteTable_AZb (Association de sous-réseaux : Public_Subnet_AZb)

DestinationCible
0.0.0.0/0Passerelle Internet
10.0.0.0/16Local
10.0.16.0/20Point de terminaison du pare-feu dans AZb

Remarque : Dans cet exemple, 10.0.16.0/20 est le CIDR de Private_Subnet_AZb.

Firewall_Subnet_RouteTable_AZa (Association de sous-réseaux : Firewall_Subnet_AZa)

DestinationCible
0.0.0.0/0Passerelle NAT dans Public_Subnet_AZa
10.0.0.0/16Local

Firewall_Subnet_RouteTable_AZb (Association de sous-réseaux : Firewall_Subnet_AZb)

DestinationCible
0.0.0.0/0Passerelle NAT dans Public_Subnet_AZb
10.0.0.0/16Local

Private_Subnet_RouteTable_AZa (Association de sous-réseaux : Private_Subnet_AZa)

DestinationCible
0.0.0.0/0Point de terminaison du pare-feu dans AZa
10.0.0.0/16Local

Private_Subnet_RouteTable_AZb (Association de sous-réseaux : Private_Subnet_AZb)

DestinationCible
0.0.0.0/0Point de terminaison du pare-feu dans AZb
10.0.0.0/16Local

Pour vérifier si votre routage a été correctement configuré, vous pouvez déployer une instance EC2 dans l'un de vos sous-réseaux privés afin de tester votre connectivité Internet. En l'absence de règles configurées dans la politique de pare-feu réseau, le trafic ne sera pas inspecté et pourra atteindre Internet. Après avoir vérifié que votre routage, votre groupe de sécurité et vos listes de contrôle d'accès réseau (ACL réseau) sont configurés, ajoutez des règles à votre politique de pare-feu.

Remarque : Vous pouvez également configurer le pare-feu réseau pour acheminer le trafic depuis Internet via le pare-feu, puis la passerelle NAT. Pour plus d'informations, consultez Architecture avec une passerelle Internet et une passerelle NAT.

Informations connexes

Journalisation et surveillance dans AWS Network Firewall

Concepts de table de routage

Modèles de déploiement pour AWS Network Firewall avec améliorations du routage VPC

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an