概觀
AWS 上的集中式網路檢測可設定篩選網路流量所需的 AWS 資源。這個解決方案會將佈建集中式 AWS Network Firewall 以檢查 Amazon Virtual Private Cloud (Amazon VPC) 之間流量的整個過程予以自動化,因此可節省時間。
優勢
此解決方案可讓您修改 Amazon S3 儲存貯體中組態套件的規則群組和防火牆政策。這樣可自動調用 AWS CodePipeline 以執行驗證和部署。
這個解決方案可讓您在同一處集中檢查成千上萬個 Amazon VPC 和帳戶。您也可以統一設定及管理 AWS Network Firewall、防火牆政策和規則群組。
這個解決方案可協助您使用 GitOps 工作流程,藉此進行協同合作並管理 AWS Network Firewall 組態的變更。
技術詳細資訊
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
步驟 1
AWS CloudFormation 範本可在解決方案部署所在的區域內隨機選取可用區域,在這些可用區域中部署有四個子網路的檢查 Virtual Private Cloud (VPC)。
步驟 1a
如果您提供現有的傳輸閘道 ID,該解決方案會使用其中兩個子網路,針對您的 VPC 建立 AWS Transit Gateway 連接。
步驟 1b
該解決方案使用其他兩個子網路,可在解決方案部署所在區域兩個隨機選取的可用區域中建立 AWS Network Firewall 端點。
步驟 2
CloudFormation 範本會建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體,其預設網路防火牆組態可允許所有流量。這會啟動 AWS CodePipeline 以執行下列階段:
步驟 2a
驗證階段:解決方案使用 Network Firewall (啟用空執行模式的 API) 來驗證 Network Firewall 組態。這可讓您在嘗試實際變更之前找到非預期問題。此階段還會檢查組態中所有參考的檔案,是否存在於 JSON 檔案結構中。
如果其中一個規則群組變更失敗,規則群組變更會回復至原始狀態。設備模式會啟用從 Transit Gateway 到 Amazon Virtual Prviate Cloud (Amazon VPC) 的附件,以避免不對稱流量。如需詳細資訊,請參閱共用服務 VPC 中的設備。
步驟 3
該解決方案會針對每個可用區域,建立 Amazon VPC 路由表。各自的預設路由目標是適用於 Network Firewall 的 Amazon VPC 端點。
步驟 4
該解決方案會建立包含防火牆子網路的共用路由表。預設路由目的地目標為傳輸閘道 ID。只有在 CloudFormation 輸入參數中提供傳輸閘道 ID 時,才會建立此路由。
步驟 1
AWS CloudFormation 範本可在解決方案部署所在的區域內隨機選取可用區域,在這些可用區域中部署有四個子網路的檢查 Virtual Private Cloud (VPC)。
步驟 1a
如果您提供現有的傳輸閘道 ID,該解決方案會使用其中兩個子網路,針對您的 VPC 建立 AWS Transit Gateway 連接。
步驟 1b
該解決方案使用其他兩個子網路,可在解決方案部署所在區域兩個隨機選取的可用區域中建立 AWS Network Firewall 端點。
步驟 2
CloudFormation 範本會建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體,其預設網路防火牆組態可允許所有流量。這會啟動 AWS CodePipeline 以執行下列階段:
步驟 2a
驗證階段:解決方案使用 Network Firewall (啟用空執行模式的 API) 來驗證 Network Firewall 組態。這可讓您在嘗試實際變更之前找到非預期問題。此階段還會檢查組態中所有參考的檔案,是否存在於 JSON 檔案結構中。
如果其中一個規則群組變更失敗,規則群組變更會回復至原始狀態。設備模式會啟用從 Transit Gateway 到 Amazon Virtual Prviate Cloud (Amazon VPC) 的附件,以避免不對稱流量。如需詳細資訊,請參閱共用服務 VPC 中的設備。
步驟 3
該解決方案會針對每個可用區域,建立 Amazon VPC 路由表。各自的預設路由目標是適用於 Network Firewall 的 Amazon VPC 端點。
步驟 4
該解決方案會建立包含防火牆子網路的共用路由表。預設路由目的地目標為傳輸閘道 ID。只有在 CloudFormation 輸入參數中提供傳輸閘道 ID 時,才會建立此路由。