概览
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
AWS 上的集中网络检查配置筛选网络流量所需的 AWS 资源。该解决方案将调配集中式 AWS Network Firewall 以检测您的 Amazon Virtual Private Clouds(Amazon VPC)之间流量的过程自动化,因而可为您节省时间。
优势
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
借助此解决方案,您可以在 AWS CodeCommit 存储库的配置包中对规则组和防火墙策略进行修改。这将自动调用 AWS CodePipeline 以运行验证和部署。
利用此解决方案,您可以在一个地方对数百或数千个 Amazon VPC 和账户进行检查。您还可以对 AWS Network Firewall、防火墙策略和规则组进行集中配置和管理。
该解决方案可帮助您利用 GitOps 工作流程来协作并管理针对 AWS Network Firewall 配置所做的更改。
技术详情
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
AWS CloudFormation 模板部署了检查 VPC,总共包含四个子网。其中两个子网用于创建 VPC 中转网关连接,另外两个子网用于创建 AWS Network Firewall 端点。
第 2 步
CloudFormation 模板将创建一个新的 AWS CodeCommit 存储库和网络防火墙配置,该配置默认情况下允许所有网络流量通过。该模板还包含一组示例,以帮助您创建新的规则组。
第 3 步
在 CodeCommit 存储库中对配置包进行修改将调用 AWS CodePipeline 来运行验证和部署阶段。
第 4 步
该解决方案将使用默认路由目标来为各个可用区创建 Amazon VPC 路由表。还将创建一个带有防火墙子网且默认路由目标为传输网关 ID 的共享路由表。
第 5 步
该解决方案还将创建两个 AWS Key Management Service(AWS KMS)加密密钥。其中一个密钥将用于对 Amazon Simple Storage Service(Amazon S3)构件、源代码存储桶和 AWS CodeBuild 项目中的对象进行加密。第二个密钥将用于对 Network Firewall 日志目标进行加密。
第 6 步
创建 AWS Identity and Access Management(IAM)角色,以向 CodePipeline 和 CodeBuild 阶段授予权限,从而访问 S3 存储桶并管理 Network Firewall 资源。