Comment configurer un AWS Network Firewall grâce à une passerelle NAT ?
Je souhaite configurer mon AWS Network Firewall pour inspecter le trafic à l'aide d'une passerelle NAT.
Brève description
AWS Network Firewall fournit un contrôle plus précis du trafic en provenance et à destination des ressources de votre Amazon Virtual Private Cloud (Amazon VPC). Pour protéger vos ressources Amazon VPC, vous pouvez déployer les points de terminaison de votre Network Firewall dans leurs propres sous-réseaux et acheminer le trafic de l'instance de charge de travail via ces derniers. Pour ce faire, vous pouvez :
- Créer un VPC
- Créer un pare-feu
- Configurer un routage du trafic
Remarque : Network Firewall ne peut pas inspecter les charges de travail dans le même sous-réseau que celui où les points de terminaison du pare-feu sont déployés.
Solution
Créer un VPC
- Ouvrez la console Amazon VPC.
- Sur le tableau de bord du VPC, cliquez sur Create VPC (Créer un VPC).
- Dans VPC settings (Paramètres du VPC), saisissez les informations suivantes :
Choisissez VPC and more (VPC et plus encore).
Sous Name tag auto-generation (Génération automatique de balises de nom), saisissez le nom du VPC. Dans cet exemple, le VPC est nommé Protected_VPC_10.0.0.0_16-VPC. Si l'option Auto-generate (Génération automatique) est sélectionnée, le nom sera ajouté en tant que balise de nom à toutes les ressources du VPC.
Pour IPv4 CIDR block (Bloc IPv4 CIDR), saisissez 10.0.0.0/16.
Dans le champ IPv6 CIDR block (Bloc IPv6 CIDR), sélectionnez No IPv6 CIDR block (Aucun bloc IPv6 CIDR).
Dans le champ Tenancy (Location), sélectionnez Default (Par défaut).
Dans le champ Number of Availability Zones (AZs) (Nombre de zones de disponibilité [AZ]), choisissez 2.
Sous Customize AZs (Personnalisation des zones de disponibilité), choisissez deux zones de disponibilité. Dans cet exemple, us-east-2a et us-east-2b sont sélectionnés.
Dans le champ Number of public subnets (Nombre de sous-réseaux publics), choisissez 2**.**
Dans le champ Number of private subnets (Nombre de sous-réseaux privés), choisissez 4. Deux des sous-réseaux privés sont destinés au pare-feu et deux autres, aux sous-réseaux de charge de travail.
Dans le champ NAT gateways ($) (Passerelles NAT [$]), choisissez 1 per AZ (1 par AZ). Les passerelles NAT sont déployées de manière automatique dans les sous-réseaux publics.
Dans le champ VPC endpoints (Points de terminaison d'un VPC), choisissez None (Aucun). - Sélectionnez Create VPC (Créer un VPC).
- Nommez les sous-réseaux en fonction de leur objectif :
Pour cet exemple, les deux sous-réseaux publics sont destinés aux passerelles NAT. Ils sont nommés Public_Subnet_AZa et Public_Subnet_AZb.
Pour cet exemple; les deux sous-réseaux privés sont destinés aux points de terminaison du pare-feu. Ils sont nommés Firewall_Subnet_AZa et Firewall_Subnet_AZb.
Pour cet exemple, les deux autres sous-réseaux privés sont destinés aux points de terminaison de la charge de travail. Ils sont nommés Private_Subnet_AZa et Private_Subnet****_AZb.
Créer un pare-feu
- Dans le volet de navigation, sous Network Firewall, choisissez Firewalls (Pare-feu).
- Choisissez Create firewall (Créer un pare-feu).
- Dans le champ Create firewall (Créer un pare-feu), saisissez les données suivantes :
Nommez le pare-feu. Dans cet exemple, le pare-feu est nommé Network-Firewall-Test.
Dans le champ VPC, choisissez Protected_VPC_10.0.0.0_16-vpc.
Dans le champ Firewall subnets (Sous-réseaux de pare-feu), choisissez la première zone de disponibilité (us-east-2a) et choisissez Firewall_Subnet_AZa pour le sous-réseau. Puis, sélectionnez Add new subnet (Ajouter un nouveau sous-réseau). Répétez l'opération pour la deuxième zone de disponibilité (us-east-2b) et choisissez Firewall_Subnet_AZb pour le sous-réseau.
Dans le champ Associated firewall policy (Stratégie de pare-feu associée), choisissez Create and associate an empty firewall policy (Créer et associer une stratégie de pare-feu vide).
Dans le champ New firewall policy name (Nom de la nouvelle stratégie de pare-feu), saisissez le nom de la nouvelle stratégie. - Choisissez Create firewall (Créer un pare-feu). Chaque sous-réseau doit disposer d'une table de routage unique. Une table de routage unique est associée aux quatre sous-réseaux privés, tandis que les sous-réseaux publics partagent une table de routage. Vous devez créer une nouvelle table de routage avec un routage statique vers une passerelle Internet et l'associer à l'un des sous-réseaux publics.
Configurer le routage du trafic
Le trafic circule comme suit :
- Le trafic initié à partir d'une instance de charge de travail dans AZa est transféré vers le point de terminaison du pare-feu dans AZa.
- Le point de terminaison du pare-feu dans AZa acheminera le trafic vers la passerelle NAT dans AZa.
- La passerelle NAT dans AZa transfère le trafic vers la passerelle Internet associée au VPC.
- La passerelle Internet transfère le trafic vers Internet.
Le trafic inverse suit le même chemin dans la direction opposée :
- Le trafic de retour en provenance d'Internet atteint la passerelle Internet associée au VPC. Il ne peut y avoir qu'une seule passerelle Internet associée à un VPC.
- La passerelle Internet transfère le trafic vers la passerelle NAT dans AZa. La passerelle Internet prend cette décision en fonction de la zone de disponibilité de la charge de travail. Comme la destination du trafic se trouve dans AZa, la passerelle Internet choisit la passerelle NAT dans AZa pour transférer le trafic. Il n'est pas nécessaire de maintenir une table de routage pour la passerelle Internet.
- La passerelle NAT dans AZa transmet le trafic au point de terminaison du pare-feu dans AZa.
- Le point de terminaison du pare-feu dans AZa transfère le trafic vers la charge de travail dans AZa.
Remarque : les passerelles Internet peuvent identifier la passerelle NAT pour les paquets renvoyés depuis Internet vers les instances de charge de travail.
Après avoir créé le VPC et le pare-feu, vous devez configurer les tables de routage. Lorsque vous configurez les tables de routage, gardez à l'esprit les points suivants :
- Le sous-réseau privé dans AZa (Private_Subnet_AZa) transmet tout le trafic destiné à Internet vers le point de terminaison du pare-feu dans AZa (Firewall_Subnet_AZa). Cela se répète avec le sous-réseau privé dans AZb et le point de terminaison du pare-feu dans AZb.
- Le sous-réseau de pare-feu dans AZa (Firewall_Subnet_AZa) transmet tout le trafic destiné à Internet vers une passerelle NAT dans AZa (Public_Subnet_AZa). Cela se répète avec le sous-réseau du pare-feu dans AZb et la passerelle NAT dans AZb.
- Le sous-réseau public dans AZa (Public_Subnet_AZa) transfère tout le trafic vers la passerelle Internet associée au VPC.
- Le trafic de retour suit le même chemin dans la direction opposée.
Remarque : le trafic est conservé dans la même zone de disponibilité, de sorte que le pare-feu réseau voit le trafic sortant et entrant passer par le même point de terminaison du pare-feu. Cela permet aux points de terminaison du pare-feu de chaque zone de disponibilité de procéder à des inspections régulières des paquets.
Vous trouverez ci-dessous des exemples de configuration des tables de routage.
Public_Subnet_RouteTable_AZa (association de sous-réseaux : Public_Subnet_AZa)
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| 10.0.0.0/16 | Local |
| 10.0.128.0/20 | Point de terminaison du pare-feu dans AZa |
Remarque : dans cet exemple, 10.0.128.0/20 est le CIDR de Private_Subnet_AZa.
Public_Subnet_RouteTable_AZb (association de sous-réseaux : Public_Subnet_AZb)
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | Passerelle Internet |
| 10.0.0.0/16 | Local |
| 10.0.16.0/20 | Point de terminaison du pare-feu dans AZa |
Remarque : dans cet exemple, 10.0.16.0/20 est le CIDR de Private_Subnet_AZb.
Firewall_Subnet_RouteTable_AZa (association de sous-réseaux : Firewall_Subnet_AZa)
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | Passerelle NAT dans Public_Subnet_AZa |
| 10.0.0.0/16 | Local |
Firewall_Subnet_RouteTable_AZb (association de sous-réseaux : Firewall_Subnet_AZb)
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | Passerelle NAT dans Public_Subnet_AZa |
| 10.0.0.0/16 | Local |
Private_Subnet_RouteTable_AZa (association de sous-réseaux : Private_Subnet_AZa)
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | Point de terminaison du pare-feu dans AZa |
| 10.0.0.0/16 | Local |
Private_Subnet_RouteTable_AZb (association de sous-réseaux : Private_Subnet_AZb)
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | Point de terminaison du pare-feu dans AZb |
| 10.0.0.0/16 | Local |
Pour vérifier si votre routage a été correctement configuré, vous pouvez déployer une instance EC2 dans l'un de vos sous-réseaux privés afin de tester votre connectivité Internet. Si aucune règle n'est configurée dans la stratégie de pare-feu réseau, le trafic ne sera pas inspecté et pourra accéder à Internet. Après avoir confirmé que votre routage, votre groupe de sécurité et vos listes de contrôle d'accès au réseau (ACL réseau) sont configurés, ajoutez des règles à votre stratégie de pare-feu.
Remarque : vous pouvez également configurer le Network Firewall pour acheminer le trafic provenant d'Internet via le pare-feu, puis la passerelle NAT. Pour plus d'informations, consultez la rubrique Architecture with an internet gateway and a NAT gateway (Concevoir une architecture avec une passerelle Internet et une passerelle NAT).
Informations connexes
Logging and monitoring in AWS Network Firewall (Journalisation et surveillance dans AWS Network Firewall)
Concepts liés aux tables de routage
Deployment models for AWS Network Firewall with VPC routing enhancements
Contenus pertinents
- demandé il y a 2 mois
- demandé il y a 2 mois
- demandé il y a 4 mois
- demandé il y a 4 mois
- AWS OFFICIELA mis à jour il y a un mois
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 9 mois