概览
AWS 上的集中网络检查配置筛选网络流量所需的 AWS 资源。该解决方案将调配集中式 AWS Network Firewall 以检测您的 Amazon Virtual Private Clouds(Amazon VPC)之间流量的过程自动化,因而可为您节省时间。
优势
借助此解决方案,您可以在 Amazon S3 存储桶的配置包中对规则组和防火墙策略进行修改。这将自动调用 AWS CodePipeline 以运行验证和部署。
利用此解决方案,您可以在一个地方对数百或数千个 Amazon VPC 和账户进行检查。您还可以对 AWS Network Firewall、防火墙策略和规则组进行集中配置和管理。
该解决方案可帮助您利用 GitOps 工作流程来协作并管理针对 AWS Network Firewall 配置所做的更改。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
AWS CloudFormation 模板在解决方案部署区域内随机选择的可用区中部署具有四个子网的检查虚拟私有云(VPC)。
第 1a 步
如果您提供现有的传输网关 ID,该解决方案将使用两个子网为您的 VPC 创建 AWS Transit Gateway 连接。
第 1b 步
该解决方案使用另外两个子网在部署解决方案的区域内两个随机选择的可用区中创建 AWS Network Firewall 端点。
第 2 步
CloudFormation 模板创建一个 Amazon Simple Storage Service(Amazon S3)存储桶,该存储桶具有允许所有流量的默认网络防火墙配置。这将启动 AWS CodePipeline 运行以下阶段:
第 2a 步
验证阶段:解决方案使用启用了试运行模式的 Network Firewall(API)来验证 Network Firewall 配置。这使您可以在尝试实际更改之前发现意外问题。此阶段还会检查配置中引用的所有文件在 JSON 文件结构中是否存在。
如果其中一个规则组更改失败,则规则组更改将回滚到原始状态。针对从 Transit Gateway 到 Amazon Virtual Private Cloud(Amazon VPC)的连接激活设备模式,以避免不对称流量。有关更多信息,请参阅共享服务 VPC 中的设备。
第 3 步
该解决方案将为每个可用区创建 Amazon VPC 路由表。每个默认路由目标都是 Network Firewall 的 Amazon VPC 端点。
第 4 步
该解决方案使用防火墙子网创建共享路由表。默认路径目的地目标是中转网关 ID。仅当在 CloudFormation 输入参数中提供了传输网关 ID 时,才会创建此路由。
第 1 步
AWS CloudFormation 模板在解决方案部署区域内随机选择的可用区中部署具有四个子网的检查虚拟私有云(VPC)。
第 1a 步
如果您提供现有的传输网关 ID,该解决方案将使用两个子网为您的 VPC 创建 AWS Transit Gateway 连接。
第 1b 步
该解决方案使用另外两个子网在部署解决方案的区域内两个随机选择的可用区中创建 AWS Network Firewall 端点。
第 2 步
CloudFormation 模板创建一个 Amazon Simple Storage Service(Amazon S3)存储桶,该存储桶具有允许所有流量的默认网络防火墙配置。这将启动 AWS CodePipeline 运行以下阶段:
第 2a 步
验证阶段:解决方案使用启用了试运行模式的 Network Firewall(API)来验证 Network Firewall 配置。这使您可以在尝试实际更改之前发现意外问题。此阶段还会检查配置中引用的所有文件在 JSON 文件结构中是否存在。
如果其中一个规则组更改失败,则规则组更改将回滚到原始状态。针对从 Transit Gateway 到 Amazon Virtual Private Cloud(Amazon VPC)的连接激活设备模式,以避免不对称流量。有关更多信息,请参阅共享服务 VPC 中的设备。
第 3 步
该解决方案将为每个可用区创建 Amazon VPC 路由表。每个默认路由目标都是 Network Firewall 的 Amazon VPC 端点。
第 4 步
该解决方案使用防火墙子网创建共享路由表。默认路径目的地目标是中转网关 ID。仅当在 CloudFormation 输入参数中提供了传输网关 ID 时,才会创建此路由。