Come faccio a configurare un firewall di rete AWS con un gateway NAT?

7 minuti di lettura

Voglio configurare il mio firewall di rete AWS per ispezionare il traffico utilizzando un gateway NAT.

Breve descrizione

Firewall di rete AWS offre un controllo più granulare sul traffico da e verso le risorse all'interno del tuo Amazon Virtual Private Cloud (Amazon VPC). Per proteggere le risorse Amazon VPC, puoi distribuire gli endpoint di Firewall di rete nelle rispettive sottoreti e indirizzare il traffico dell'istanza del carico di lavoro attraverso di essi. Ciò è possibile tramite la:

Creazione di un VPC
Creazione di un firewall
Configurazione dell'instradamento del traffico

Nota: Firewall di rete non può ispezionare i carichi di lavoro nella stessa sottorete in cui sono implementati gli endpoint del firewall.

Risoluzione

Creazione di un VPC

Apri la console Amazon VPC.
Nel pannello di controllo del VPC, fai clic su Create VPC (Crea VPC).
In VPC Settings (Impostazioni VPC), inserisci quanto segue:
Scegli VPC and more (VPC e altro).
In Name tag auto-generation (Generazione automatica del tag name), inserisci un nome per il VPC. In questo esempio, il VPC è denominato Protected_VPC_10.0.0.0_16-vpc. Se è selezionata l'opzione Auto-generate (Generazione automatica), il nome verrà aggiunto come tag name a tutte le risorse del VPC.
Per IPv4 CIDR block (Blocco CIDR IPv4), immetti 10.0.0.0/16.
Per IPv6 CIDR block (Blocco CIDR IPv6), scegli No IPv6 CIDR block (Nessun blocco CIDR IPv6).
Per Tenancy, scegli Default (Predefinito).
Per Number of Availability Zones (AZs) (Numero di zone di disponibilità [AZ]), scegli 2.
In Customize AZs (Personalizza zone di disponibilità [AZ]), scegli due zone di disponibilità. Per questo esempio, sono selezionati us-east-2a e us-east-2b.
In Number of public subnets (Numero di sottoreti pubbliche), scegli 2**.**
Per Number of private subnets (Numero di sottoreti private), scegli 4. Due delle sottoreti private sono per il firewall e due per le sottoreti del carico di lavoro.
Per NAT gateways ($) (Gateway NAT [$]), scegli 1 per AZ. I gateway NAT vengono implementati automaticamente nelle sottoreti pubbliche.
Per VPC endpoints (Endpoint VPC), scegli None (Nessuno).
Scegli Create VPC (Crea VPC).
Denomina le sottoreti in base al loro scopo:
Per questo esempio, le due sottoreti pubbliche sono per i gateway NAT e sono denominate Public_subnet_AZa e Public_subnet_AZb.
Per le sottoreti private, due sono per gli endpoint del firewall e in questo esempio sono denominate Firewall_subnet_AZa e Firewall_subnet_AZb.
Le altre due sottoreti private sono per gli endpoint del carico di lavoro e in questo esempio sono denominate Private_subnet_AZa e Private_Subnet ****_AZb.

Creazione di un firewall

Nel pannello di navigazione, in Network Firewall (Firewall di rete), scegli Firewalls (Firewall).
Scegli Create firewall (Crea firewall).
In Create firewall (Crea firewall), inserisci quanto segue:
Inserisci un nome per il firewall. In questo esempio, il firewall è denominato Network-Firewall-Test.
Per VPC, scegli Protected_VPC_10.0.0.0_16-vpc.
Per le Firewall subnets (Sottoreti firewall), scegli la prima zona di disponibilità (us-east-2a) e scegli Firewall_subnet_AZa per la sottorete. Quindi, scegli Add new subnet (Aggiungi nuova sottorete) e ripeti per la seconda zona di disponibilità (us-east-2b), quindi scegli Firewall_subnet_AZb per la sottorete.
Per Associated firewall policy (Policy firewall associata), scegli Create and associate an empty firewall policy (Crea e associa una politica firewall vuota).
In New firewall policy name (Nuovo nome della politica del firewall), immetti un nome per la nuova policy.
Scegli Create firewall (Crea firewall). Ogni sottorete deve avere una tabella di instradamento univoca. Alle quattro sottoreti private è associata una tabella di instradamento univoca, mentre le sottoreti pubbliche condividono una tabella di instradamento. È necessario creare una nuova tabella di instradamento con un percorso statico verso un gateway Internet e associarla a una delle sottoreti pubbliche.

Configurazione dell'instradamento del traffico

Il traffico scorre come segue:

Il traffico avviato dall'istanza del carico di lavoro in AZa viene inoltrato all'endpoint del firewall in AZa.
L'endpoint del firewall in AZa indirizzerà il traffico verso il gateway NAT in AZa.
Il gateway NAT in AZa inoltra il traffico al gateway Internet associato al VPC.
Il gateway Internet inoltra il traffico verso Internet.

Il traffico inverso segue lo stesso percorso nella direzione opposta:

Il traffico di ritorno da Internet raggiunge il gateway Internet collegato al VPC. Può esserci un solo gateway Internet collegato a un VPC.
Il gateway Internet inoltra il traffico al gateway NAT in AZa. Il gateway Internet prende questa decisione in base alla zona di disponibilità del carico di lavoro. Poiché la destinazione del traffico è in AZa, il gateway Internet sceglie il gateway NAT in AZa per inoltrare il traffico. Non è necessario mantenere una tabella di instradamento per il gateway Internet.
Il gateway NAT in AZa inoltra il traffico all'endpoint del firewall in AZa.
L'endpoint del firewall in AZa inoltra il traffico al carico di lavoro in AZa.

Nota: i gateway Internet possono identificare il gateway NAT per i pacchetti che ritornano da Internet alle istanze del carico di lavoro.

Dopo aver creato il VPC e il firewall, è necessario configurare le tabelle di instradamento. Quando configuri le tabelle di instradamento, tieni presente quanto segue:

La sottorete privata in AZa (Private_Subnet_AZa) inoltra tutto il traffico destinato a Internet all'endpoint del firewall in AZa (Firewall_Subnet_AZa). Ciò si ripete con la sottorete privata in AZb e l'endpoint del firewall in AZb.
La sottorete del firewall in AZa (Firewall_Subnet_AZa) inoltra tutto il traffico destinato a Internet a un gateway NAT in AZa (Public_Subnet_AZa). Ciò si ripete con la sottorete del firewall in AZb e il gateway NAT in AZb.
La sottorete pubblica in AZa (Public_Subnet_AZa) inoltra tutto il traffico al gateway Internet collegato al VPC.
Il traffico di ritorno segue lo stesso percorso in senso inverso.

Nota: il traffico viene mantenuto nella stessa zona di disponibilità in modo che il firewall di rete abbia sia il percorso del traffico in entrata che in uscita attraverso lo stesso endpoint del firewall. Ciò consente agli endpoint del firewall in ciascuna zona di disponibilità di effettuare ispezioni aggiornate dei pacchetti.

Di seguito sono riportati esempi di configurazioni delle tabelle di instradamento.

Public_Subnet_RouteTable_AZa (associazione sottorete: Public_Subnet_AZa)

Destinazione	Target
0.0.0.0/0	Gateway Internet
10.0.0.0/16	Locale
10.0.128.0/20	Endpoint firewall in AZa

Nota: in questo esempio, 10.0.128.0/20 è il CIDR di Private_Subnet_AZa.

Public_Subnet_RouteTable_AZb (associazione sottorete: Public_Subnet_AZb)

Destinazione	Target
0.0.0.0/0	Gateway Internet
10.0.0.0/16	Locale
10.0.16.0/20	Endpoint firewall in AZa

Nota: in questo esempio, 10.0.16.0/20 è il CIDR di Private_Subnet_AZb.

Firewall_Subnet_RouteTable_AZa (associazione sottorete: Firewall_Subnet_AZa)

Destinazione	Target
0.0.0.0/0	Gateway NAT in Public_Subnet_AZa
10.0.0.0/16	Locale

Firewall_Subnet_RouteTable_AZb (associazione di sottorete: Firewall_Subnet_AZb)

Destinazione	Target
0.0.0.0/0	Gateway NAT in Public_Subnet_AZa
10.0.0.0/16	Locale

Private_Subnet_RouteTable_AZa (associazione di sottorete: Private_Subnet_AZa)

Destinazione	Target
0.0.0.0/0	Endpoint firewall in AZa
10.0.0.0/16	Locale

Private_Subnet_RouteTable_AZb (associazione di sottorete: Private_Subnet_AZb)

Destinazione	Target
0.0.0.0/0	Endpoint firewall in AZb
10.0.0.0/16	Locale

Per verificare se l'instradamento è stato configurato correttamente, puoi distribuire un'istanza EC2 in una delle tue sottoreti private per testare la tua connettività Internet. Senza alcuna regola configurata nella policy del firewall di rete, il traffico non verrà ispezionato e potrà raggiungere Internet. Dopo aver confermato che l'instradamento, il gruppo di sicurezza e le liste di controllo degli accessi alla rete (ACL di rete) sono configurati, aggiungi le regole alla policy del firewall.

Nota: puoi configurare Firewall di rete anche per indirizzare il traffico da Internet attraverso il firewall, quindi il gateway NAT. Per ulteriori informazioni, consulta Architettura con un gateway Internet e un gateway NAT.

Informazioni correlate

Registrazione e monitoraggio in Firewall di rete AWS

Concetti relativi alla tabella di instradamento

Modelli di implementazione per Firewall di rete AWS con miglioramenti dell'instradamento del VPC

Argomenti

Sicurezza, identità e conformità

Tag

AWS Network Firewall

Lingua

Italiano

AWS UFFICIALEAggiornata un mese fa

Contenuto pertinente

In che modo posso consentire l'accesso a Internet a una funzione Lambda connessa a un Amazon VPC?
AWS UFFICIALEAggiornata 24 giorni fa
Come posso risolvere i problemi di connettività di rete dalla mia istanza del notebook Amazon SageMaker con accesso diretto a Internet disattivato?
AWS UFFICIALEAggiornata 4 mesi fa
Come posso risolvere i problemi di connettività quando utilizzo un gateway NAT sul mio VPC privato?
AWS UFFICIALEAggiornata un anno fa
Come posso pubblicizzare routing VPC tramite una connessione Direct Connect a una rete on-premise tramite BGP?
AWS UFFICIALEAggiornata un anno fa