Network Firewall 部署小指南 (五) 使用辅助VPC端点简化NFW部署及运维管理

摘要：本篇blog介绍通过部署NFW的Multiple Endpoint功能来简化网络安全架构设计与运维管理。

01 一、背景与挑战

02 二、Network Firewall Multiple VPC Endpoints（辅助VPC 端点）

03 三、辅助VPC 端点核心优势

04 四、部署场景

05 五、配置方式

06 六、辅助VPC端点的成本

07 七、总结

08 八、参考文档

一、背景与挑战

在传统的 AWS Network Firewall 部署中，每个需要流量检测的 VPC 都需要独立部署一个防火墙端点（Firewall Endpoint）。对于拥有大量 VPC 的企业客户而言，这意味着：

增加端点成本：每个端点按小时计费，即使流量很低也持续产生费用。
运维复杂度提高：需要在多个 VPC 中分别创建独立的防火墙并维护策略和规则。
资源利用率降低：各端点独立运行，无法共享处理能力。

二、Network Firewall Multiple VPC Endpoints（辅助VPC 端点）

AWS Network Firewall 的 Multiple VPC Endpoints 功能允许客户将同一可用区（AZ）内的多个防火墙端点关联到单一防火墙实例，最多支持 50 个防火墙端点接口。

架构上分为两类端点：

Primary Endpoint（主端点）：防火墙所有者账户中创建的主防火墙端点。
Secondary Endpoint（辅助端点）：其他 VPC（同账户或跨账户）中创建的关联端点，流量同样经过相同防火墙的策略和规则进行检测。

注意事项

开启Multiple VPC Endpoints的NFW不支持TLS Inspection。
TGW Native类型的NFW不支持Multiple VPC Endpoints。
100 Gbps /AZ的带宽由与该防火墙关联的所有 VPC 端点共享。

其他功能限制，请参考如下链接，Multiple VPC Endpoints considerations

三、辅助VPC 端点核心优势

降低端点小时费用：减少Primary端点部署数量，直接降低成本。
简化安全运维：利用Primary端点和辅助端点的组合部署，统一的防火墙策略和规则，一处修改，全局生效。
提升防火墙利用率：多 VPC 共享同一防火墙实例，资源利用更充分。

四、部署场景

4.1 VPC集中架构

[图1]

在此架构中，TGW关联的安全检测VPC中部署的NFW端点为Primary Endpoint（主端点），其他业务VPC中部署的NFW端点为Secondary Endpoint（辅助端点）。

实现业务VPC之间的东西流量安全管控的需求的同时，也为业务VPC内与互联网之间的南向或北向流量的做安全管控。（VPC内的EIP，ELB服务等）。

4.2 VPC分布架构

[图2]

在此架构中，业务VPC1 中部署的NFW端点为Primary Endpoint（主端点），其他业务VPC中部署的NFW端点为Secondary Endpoint（辅助端点）。

实现各业务VPC与互联网之间的南向或北向流量的安全管控的需求。

五、配置方式

5.1 创建 VPC endpoint associations

在VPC页面中的Network Firewall下，点击 VPC endpoint associations，并创建。

[图3]

5.2 填写 VPC endpoint 参数

选择之前创建好的独立的NFW，选择部署VPC endpoint的VPC及AZ以及子网信息，并点击创建。

[图4]

5.3 查看 VPC endpoint 状态

[图5]

5.4 修改业务VPC路由表

将需要经过NFW的流量指向 VPC endpoint

[图6]

六、辅助VPC端点的成本

端点小时费：辅助VPC端点按照小时费计算，但比Primary Endpoint（主端点）小时费优惠。
数据流量费：与Primary Endpoint（主端点）流量费用一致，按所在的区域以每 GB 为单位进行计费。
NATGW费用减免：与Primary Endpoint（主端点）一致，Secondary Endpoint（辅助端点）也会对NATGW的小时费及数据流量费减免。

举例

客户在俄亥俄Region采用分布式模式部署了5个独立的VPC（使用2个AZ），需要在每个VPC中利用NFW功能实现与互联网边界的安全防护。

测算方式

1.NFW终端节点费

方案1: 每个VPC都按照原方式部署NFW的Primary Endpoint（主端点），即需要10个终端节点（5个VPC*2 AZs），费用为$0.395/hr*10=$3.95/hr。
方案2: 按照辅助终端节点方式部署，只需要其中1个VPC部署Primary Endpoint（主端点），而其他4个VPC可以部署Secondary Endpoint（辅助端点），费用为$0.395/hr*2+$0.158/hr*8=$2.054/hr。

2.NFW流量费

方案1和方案2中由于VPC中经过NFW端点的流量一样，这里不做对比。

从以上测算中可以看到，采用了Secondary Endpoint（辅助端点）之后，NFW终端节点的小时费可以节省48%。

七、总结

Before

每个 VPC 独立部署一个 AWS Network Firewall 实例，各自维护独立的策略和规则组，运维成本高，策略一致性难以保证。

After

多个 VPC（跨账户或同账户）的流量汇聚到单一防火墙实例进行集中检测，通过 AWS Resource Access Manager (RAM) 实现跨账户端点共享。

利用辅助VPC端点的部署，即可以简化NFW部署模式，又可以降低运维管理的复杂度。

➡️ 下一步行动：

相关产品：

Amazon VPC — 隔离云网络
Amazon Network Firewall — VPC 网络级保护

相关文章：

告别堡垒机：使用 AWS EICE （EC2 Instance Connect Endpoint）与 Chaterm 实现私有子网的安全智能运维

八、参考文档

*前述特定亚马逊云科技生成式人工智能相关的服务目前在亚马逊云科技海外区域可用。亚马逊云科技中国区域相关云服务由西云数据和光环新网运营，具体信息以中国区域官网为准。

本篇作者

AWS 架构师中心：云端创新的引领者

探索 AWS 架构师中心，获取经实战验证的最佳实践与架构指南，助您高效构建安全、可靠的云上应用

亚马逊AWS官方博客