Como configurar um AWS Network Firewall com um gateway NAT?
Quero configurar meu AWS Network Firewall para inspecionar o tráfego usando um gateway NAT.
Breve descrição
O AWS Network Firewall fornece um controle mais granular sobre o tráfego de e para os recursos dentro da sua Amazon Virtual Private Cloud (Amazon VPC). Para proteger seus recursos do Amazon VPC, você pode implantar seus endpoints do Network Firewall em suas próprias sub-redes e direcionar o tráfego da instância de carga de trabalho por meio delas. Isso pode ser feito:
- Criando uma VPC
- Criando um firewall
- Configurando o roteamento de tráfego
Observação: o Network Firewall não pode inspecionar workloads na mesma sub-rede em que os endpoints do firewall estão implantados.
Resolução
Criando uma VPC
- Abra o console da Amazon VPC.
- No painel da VPC, clique em Criar VPC.
- Em Configurações da VPC, insira o seguinte:
Escolha VPC e mais.
Em Geração automática de tag de nome, insira um nome para a VPC. Neste exemplo, a VPC é chamada Protected_VPC_10.0.0.0_16-vpc. Se a opção Geração automática for selecionada, o nome será adicionado como uma tag de nome a todos os recursos na VPC.
No bloco CIDR IPv4, digite 10.0.0.0/16.
No bloco CIDR IPv6, escolha Sem bloco CIDR IPv6.
Em Locação, escolha Padrão.
Em Número de zonas de disponibilidade (AZs), escolha 2.
Em Personalizar AZs, escolha duas zonas de disponibilidade. Neste exemplo, us-east-2a e us-east-2b são selecionados.
Em Número de sub-redes públicas, escolha 2.
Em Número de sub-redes privadas, escolha 4. Duas das sub-redes privadas são para o firewall e duas são para as sub-redes de workload.
Em Gateways NAT ($), escolha 1 por AZ. Os gateways NAT são implantados nas sub-redes públicas automaticamente.
Em endpoints da VPC, escolha Nenhum. - Escolha Criar VPC.
- Nomeie as sub-redes de acordo com sua finalidade:
As duas sub-redes públicas são para os gateways NAT e são denominadas Public_Subnet_AZa e Public_Subnet_AZb neste exemplo.
Para as sub-redes privadas, duas são para os endpoints do firewall e são denominadas Firewall_Subnet_AZa e Firewall_Subnet_AZb neste exemplo.
As outras duas sub-redes privadas são para os endpoints de workload e são denominadas Private_Subnet_AZa e Private_Subnet_AZb neste exemplo.
Criar um firewall
- No painel de navegação, em Firewall de rede, escolha Firewalls.
- Escolha Criar firewall.
- Em Criar firewall, digite o seguinte:
Digite um nome para o firewall. Neste exemplo, o firewall é chamado Network-Firewall-Test.
Em VPC, escolha Protected_VPC_10.0.0.0_16-vpc.
Em Sub-redes de firewall, escolha a primeira zona de disponibilidade (us-east-2a) e escolha Firewall_Subnet_AZa para a sub-rede. Em seguida, escolha Adicionar nova sub-rede e repita para a segunda zona de disponibilidade (us-east-2b) e escolha Firewall_Subnet_AZb para a sub-rede.
Em Política de firewall associada, escolha Criar e associar uma política de firewall vazia.
Em Nome da nova política de firewall, insira um nome para a nova política. - Escolha Criar firewall. Cada sub-rede deve ter uma tabela de roteamento exclusiva. As quatro sub-redes privadas têm uma tabela de roteamento exclusiva associada a elas, enquanto as sub-redes públicas compartilham uma tabela de roteamento. Você deve criar uma nova tabela de roteamento com uma rota estática para um gateway da Internet e associá-la a uma das sub-redes públicas.
Configurar o roteamento de tráfego
O tráfego flui da seguinte forma:
- O tráfego iniciado a partir da instância de workload no AZa é encaminhado para o endpoint do firewall no AZa.
- O endpoint do firewall no AZa roteia o tráfego para o gateway NAT no AZa.
- O gateway NAT no AZa encaminha o tráfego para o gateway da Internet associado à VPC.
- O gateway da Internet encaminha o tráfego para a Internet.
O tráfego inverso segue o mesmo caminho na direção oposta:
- O tráfego de retorno da Internet chega ao gateway da Internet conectado à VPC. Só pode haver um gateway da Internet conectado a uma VPC.
- O gateway da Internet encaminha o tráfego para o gateway NAT no AZa. O gateway da Internet toma essa decisão com base na zona de disponibilidade do workload. Como o destino do tráfego está em AZa, o gateway da Internet escolhe o gateway NAT no AZa para encaminhar o tráfego. Não há necessidade de manter uma tabela de rotas para o gateway da Internet.
- O gateway NAT no AZa encaminha o tráfego para o endpoint do firewall no AZa.
- O endpoint do firewall no AZa encaminha o tráfego para a carga de trabalho no AZa.
Observação: os gateways da Internet podem identificar o gateway NAT de pacotes que retornam da Internet para as instâncias de workload.
Depois de criar a VPC e o firewall, você deve configurar as tabelas de roteamento. Ao configurar as tabelas de roteamento, lembre-se do seguinte:
- A sub-rede privada em AZa (Private_Subnet_AZa) encaminha todo o tráfego destinado à Internet para o endpoint do firewall em AZa (Firewall_Subnet_AZa). Isso se repete com a sub-rede privada no AZb e o endpoint do firewall no AZb.
- A sub-rede de firewall em AZa (Firewall_Subnet_AZa) encaminha todo o tráfego destinado à Internet para um gateway NAT em AZa (Public_Subnet_AZa). Isso se repete com a sub-rede do firewall no AZb e o gateway NAT no AZb.
- A sub-rede pública em AZa (Public_Subnet_AZa) encaminha todo o tráfego para o gateway da Internet conectado à VPC.
- O tráfego de retorno segue o mesmo caminho ao contrário.
Observação: o tráfego é mantido na mesma zona de disponibilidade para que o firewall da rede tenha a rota do tráfego de entrada e saída pelo mesmo endpoint do firewall. Isso permite que os endpoints do firewall em cada zona de disponibilidade façam inspeções de estado dos pacotes.
Veja a seguir exemplos de configurações das tabelas de roteamento:
Public_Subnet_RouteTable_AZa (Associação de sub-rede: Public_Subnet_AZa)
| Destino | Alvo |
|---|---|
| 0.0.0.0/0 | Gateway da Internet |
| 10.0.0.0/16 | Local |
| 10.0.128.0/20 | Endpoint de firewall em AZa |
Observação: neste exemplo, 10.0.128.0/20 é o CIDR de Private_Subnet_AZa.
Public_Subnet_RouteTable_AZb (Associação de sub-rede: Public_Subnet_AZb)
| Destino | Alvo |
|---|---|
| 0.0.0.0/0 | Gateway da Internet |
| 10.0.0.0/16 | Local |
| 10.0.16.0/20 | Endpoint de firewall em AZb |
Observação: neste exemplo, 10.0.16.0/20 é o CIDR de Private_Subnet_AZb.
Firewall_Subnet_RouteTable_AZa (Associação de sub-rede: Firewall_Subnet_AZa)
| Destino | Alvo |
|---|---|
| 0.0.0.0/0 | Gateway NAT em Public_Subnet_AZa |
| 10.0.0.0/16 | Local |
Firewall_Subnet_RouteTable_AZb (Associação de sub-rede: Firewall_Subnet_AZb)
| Destino | Alvo |
|---|---|
| 0.0.0.0/0 | Gateway NAT em Public_Subnet_AZb |
| 10.0.0.0/16 | Local |
Private_Subnet_RouteTable_AZa (Associação de sub-rede: Private_Subnet_AZa)
| Destino | Alvo |
|---|---|
| 0.0.0.0/0 | Endpoint de firewall em AZa |
| 10.0.0.0/16 | Local |
Private_Subnet_RouteTable_AZb (Associação de sub-rede: Private_Subnet_AZb)
| Destino | Alvo |
|---|---|
| 0.0.0.0/0 | Endpoint de firewall em AZb |
| 10.0.0.0/16 | Local |
Para verificar se o roteamento foi configurado corretamente, você pode implantar uma instância do EC2 em uma de suas sub-redes privadas para testar sua conectividade com a Internet. Sem nenhuma regra configurada na política de firewall da rede, o tráfego não será inspecionado e poderá chegar à Internet. Depois de confirmar que seu roteamento, grupo de segurança e listas de controle de acesso à rede (ACLs da rede) estão configurados, adicione regras à sua política de firewall.
Observação: você também pode configurar o Network Firewall para rotear o tráfego da Internet através do firewall e, em seguida, do gateway NAT. Para obter mais informações, consulte Arquitetura com um gateway da Internet e um gateway NAT.
Informações relacionadas
Como fazer login e monitorar no AWS Network Firewall
Modelos de implantação do AWS Network Firewall com aprimoramentos de roteamento da VPC
Conteúdo relevante
- AWS OFICIALAtualizada há 7 meses
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano