Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie eine Firewall mithilfe von AWS Network Firewall und AWS Transit Gateway bereit
Erstellt von Shrikant Patil () AWS
Übersicht
Dieses Muster zeigt Ihnen, wie Sie eine Firewall mithilfe von AWS Network Firewall und AWS Transit Gateway bereitstellen. Die Netzwerk-Firewall-Ressourcen werden mithilfe einer AWS CloudFormation Vorlage bereitgestellt. Die Network Firewall passt sich automatisch Ihrem Netzwerkverkehr an und kann Hunderttausende von Verbindungen unterstützen, sodass Sie sich keine Gedanken über den Aufbau und die Wartung Ihrer eigenen Netzwerksicherheitsinfrastruktur machen müssen. Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, über den Sie Ihre virtuellen privaten Clouds (VPCs) und lokalen Netzwerke miteinander verbinden können.
In diesem Muster lernen Sie auch, eine Inspektion VPC in Ihre Netzwerkarchitektur einzubeziehen. Schließlich wird in diesem Muster erklärt, wie Sie Amazon verwenden CloudWatch , um die Aktivitäten Ihrer Firewall in Echtzeit zu überwachen.
Tipp: Es hat sich bewährt, die Verwendung eines Netzwerkfirewall-Subnetzes zur Bereitstellung anderer AWS Dienste zu vermeiden. Dies liegt daran, dass die Network Firewall den Verkehr von Quellen oder Zielen innerhalb des Subnetzes einer Firewall nicht untersuchen kann.
Voraussetzungen und Einschränkungen
Voraussetzungen
Einschränkungen
Möglicherweise haben Sie Probleme mit der Domainfilterung und es könnte eine andere Konfiguration erforderlich sein. Weitere Informationen finden Sie unter Regelgruppen mit Stateful-Domänenlisten in der AWS Network Firewall in der Netzwerk-Firewall-Dokumentation.
Architektur
Technologie-Stack
Zielarchitektur
Das folgende Diagramm zeigt, wie Sie Network Firewall und Transit Gateway verwenden, um Ihren Datenverkehr zu überprüfen:
Die Architektur umfasst die folgenden Komponenten:
Ihre Anwendung wird in den beiden Speichen gehostetVPCs. Sie VPCs werden von der Network Firewall überwacht.
Der Ausgang VPC hat direkten Zugriff auf das Internet-Gateway, ist jedoch nicht durch eine Network Firewall geschützt.
Bei der Inspektion VPC wird die Network Firewall eingesetzt.
Automatisierung und Skalierung
Sie können dieses Muster mithilfe von Infrastruktur als Code erstellen. CloudFormation
AWSDienste
Amazon CloudWatch Logs hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS Dienste zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.
Amazon Virtual Private Cloud (AmazonVPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, und bietet die Vorteile der Nutzung der skalierbaren Infrastruktur vonAWS.
AWSNetwork Firewall ist ein zustandsorientierter, verwalteter Dienst für Netzwerk-Firewall und Erkennung und Verhinderung von Eindringlingen VPCs in der AWS Cloud.
AWSTransit Gateway ist ein zentraler Knotenpunkt, der lokale Netzwerke verbindetVPCs.
Code
Der Code für dieses Muster ist in der GitHub AWSNetzwerkfirewall-Bereitstellung mit dem Transit Gateway Gateway-Repository verfügbar. Sie können die CloudFormation Vorlage aus diesem Repository verwenden, um eine einzelne Inspektion bereitzustellenVPC, die die Network Firewall verwendet.
Epen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Bereiten Sie die CloudFormation Vorlage vor und stellen Sie sie bereit. | Laden Sie die cloudformation/aws_nw_fw.yml Vorlage aus dem GitHub Repository herunter. Aktualisieren Sie die Vorlage mit Ihren Werten. Stellen Sie die Vorlage bereit.
| AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Erstellen Sie ein Transit-Gateway. | Melden Sie sich bei der AWS Management Console an und öffnen Sie die VPCAmazon-Konsole. Wählen Sie im Navigationsbereich Transit Gateways aus. Wählen Sie Create Transit Gateway (Transit Gateway erstellen) aus. Geben Sie unter Namenstag einen Namen für das Transit-Gateway ein. Geben Sie unter Beschreibung eine Beschreibung für das Transit-Gateway ein. Behalten Sie für die Amazon-seitige Autonome Systemnummer (ASN) den ASN Standardwert bei. Wählen Sie die DNSSupport-Option aus. Wählen Sie die VPNECMPSupport-Option aus. Wählen Sie die Option Standardmäßige Zuordnung von Routing-Tabellen aus. Diese Option ordnet die Transit-Gateway-Anlagen automatisch der Standardroutentabelle für das Transit-Gateway zu. Wählen Sie die Option Standardweiterleitung für Routing-Tabellen aus. Mit dieser Option werden die Transit-Gateway-Anlagen automatisch an die Standardroutentabelle für das Transit-Gateway weitergegeben. Wählen Sie Create Transit Gateway (Transit Gateway erstellen) aus.
| AWS DevOps |
Erstellen Sie Transit-Gateway-Anlagen. | Erstellen Sie einen Transit-Gateway-Anhang für Folgendes: Ein Inspektionsanhang im Inspektions VPC - und Transit Gateway Gateway-Subnetz Ein VPCASpoke-Anhang im Spoke VPCA - und Private-Subnetz Ein VPCBSpoke-Anhang im Spoke VPCB - und Private-Subnetz Ein VPCAusgangsanhang im ausgehenden und privaten Subnetz VPC
| AWS DevOps |
Erstellen Sie eine Transit-Gateway-Routentabelle. | Erstellen Sie eine Transit-Gateway-Routentabelle für den SpokeVPC. Diese Routentabelle muss allen VPCs anderen Routing-Tabellen als der Inspektion zugeordnet werdenVPC. Erstellen Sie eine Transit-Gateway-Routentabelle für die Firewall. Diese Routing-Tabelle darf VPC nur der Inspektion zugeordnet werden. Fügen Sie der Transit-Gateway-Routentabelle für die Firewall eine Route hinzu: Verwenden Sie für 0.0.0/0 den VPCEgress-Anhang. Verwenden Sie für den VPCACIDRSpoke-Block den VPC1Spoke-Anhang. Verwenden Sie für den VPCBCIDRSpoke-Block den VPC2Spoke-Anhang.
Fügen Sie der Transit-Gateway-Routentabelle für den Spoke eine Route hinzuVPC. Verwenden Sie 0.0.0/0 dazu den VPCInspektionsanhang.
| AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Erstellen Sie bei der Inspektion eine FirewallVPC. | Melden Sie sich bei der AWS Management Console an und öffnen Sie die VPCAmazon-Konsole. Wählen Sie im Navigationsbereich unter Network Firewall die Option Firewalls aus. Wählen Sie Firewall erstellen aus. Geben Sie unter Name den Namen ein, mit dem Sie diese Firewall identifizieren möchten. Sie können den Namen einer Firewall nicht mehr ändern, nachdem Sie sie erstellt haben. Wählen Sie für VPCIhre Inspektion ausVPC. Wählen Sie für Availability Zone und Subnet die Zone und das Firewall-Subnetz aus, die Sie identifiziert haben. Wählen Sie im Abschnitt Zugeordnete Firewall-Richtlinie die Option Einer vorhandenen Firewall-Richtlinie zuordnen aus, und wählen Sie dann die Firewall-Richtlinie aus, die Sie zuvor erstellt haben. Wählen Sie Firewall erstellen aus.
| AWS DevOps |
Erstellen Sie eine Firewall-Richtlinie. | Melden Sie sich bei der AWS Management Console an und öffnen Sie die VPCAmazon-Konsole. Wählen Sie im Navigationsbereich unter Network Firewall die Option Firewall-Richtlinien aus. Wählen Sie auf der Seite „Firewall-Richtlinie beschreiben“ die Option Firewall-Richtlinie erstellen aus. Geben Sie unter Name den Namen ein, den Sie für die Firewall-Richtlinie verwenden möchten. Sie verwenden den Namen, um die Richtlinie zu identifizieren, wenn Sie die Richtlinie später in diesem Muster Ihrer Firewall zuordnen. Sie können den Namen einer Firewall-Richtlinie nicht mehr ändern, nachdem Sie sie erstellt haben. Wählen Sie Weiter. Wählen Sie auf der Seite Regelgruppen hinzufügen im Abschnitt Stateless Rule Group die Option Stateless Rule Groups hinzufügen aus. Aktivieren Sie im Dialogfeld Aus vorhandenen Regelgruppen hinzufügen das Kontrollkästchen für die statuslose Regelgruppe, die Sie zuvor erstellt haben. Wählen Sie Regelgruppen hinzufügen aus. Hinweis: Unten auf der Seite zeigt der Kapazitätszähler der Firewall-Richtlinie neben der maximal zulässigen Kapazität für eine Firewall-Richtlinie die Kapazität an, die durch das Hinzufügen dieser Regelgruppe verbraucht wurde. Stellen Sie die Standardaktion „Statuslos“ auf „An statusbehaftete Regeln weiterleiten“ ein. Wählen Sie im Abschnitt Stateful-Regelgruppe die Option Stateful-Regelgruppen hinzufügen aus und aktivieren Sie dann das Kontrollkästchen für die Stateful-Regelgruppe, die Sie zuvor erstellt haben. Wählen Sie Regelgruppen hinzufügen aus. Wählen Sie Weiter, um die restlichen Schritte des Einrichtungsassistenten auszuführen, und wählen Sie dann Firewall-Richtlinie erstellen aus.
| AWS DevOps |
Aktualisieren Sie Ihre VPC Routing-Tabellen. | Tabellen für VPC Inspektionsrouten Fügen Sie in der ANF Subnetz-Routentabelle (Inspection-ANFRT) die Transit-Gateway-ID hinzu0.0.0/0. Fügen Sie in der Transit Gateway Gateway-Subnetz-Routentabelle (Inspection-TGWRT) den Eintrag 0.0.0/0 zum Ausgang hinzu. VPC
Spoke-Routing-Tabelle VPCA Fügen Sie in der Tabelle für private Routen 0.0.0.0/0 die Transit Gateway Gateway-ID hinzu. VPCBSpoke-Routing-Tabelle Fügen Sie in der Tabelle für private Routen 0.0.0.0/0 die Transit Gateway Gateway-ID hinzu. Tabellen für VPC Ausgangsrouten Fügen Sie in der Tabelle für öffentliche Ausgangsrouten den Spoke VPCA and VPCBCIDRSpoke-Block zur Transit Gateway Gateway-ID hinzu. Wiederholen Sie den gleichen Schritt für das private Subnetz. | AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Aktualisieren Sie die Logging-Konfiguration der Firewall. | Melden Sie sich bei der AWS Management Console an und öffnen Sie die VPCAmazon-Konsole. Wählen Sie im Navigationsbereich unter Network Firewall die Option Firewalls aus. Wählen Sie auf der Seite Firewalls den Namen der Firewall aus, die Sie bearbeiten möchten. Wählen Sie die Registerkarte Firewall-Details. Wählen Sie im Abschnitt Protokollierung die Option Bearbeiten aus. Passen Sie die Auswahl des Protokolltyps nach Bedarf an. Sie können die Protokollierung für Alert- und Flow-Logs konfigurieren. Warnung — Sendet Protokolle für Datenverkehr, der einer Statusregel entspricht, bei der die Aktion auf Alert oder Drop gesetzt ist. Weitere Informationen zu statusbehafteten Regeln und Regelgruppen finden Sie unter Regelgruppen in der AWS Network Firewall. Flow — Sendet Protokolle für den gesamten Netzwerkverkehr, den die Stateless Engine an die Stateful-Regel-Engine weiterleitet.
Wählen Sie für jeden ausgewählten Protokolltyp den Zieltyp aus und geben Sie dann die Informationen für das Protokollierungsziel ein. Weitere Informationen finden Sie unter AWSNetzwerkfirewall-Protokollierungsziele in der Netzwerkfirewall-Dokumentation. Wählen Sie Save (Speichern) aus.
| AWS DevOps |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|
Starten Sie eine EC2 Instanz, um das Setup zu testen. | Starten Sie zwei Amazon Elastic Compute Cloud (AmazonEC2) -Instances im SpokeVPC: eine für Jumpbox und eine für Testkonnektivität. | AWS DevOps |
Überprüfen Sie die Metriken. | Die Metriken werden zuerst nach dem Service-Namespace und dann nach den verschiedenen Dimensionskombinationen innerhalb der einzelnen Namespaces gruppiert. Der CloudWatch Namespace für die Network Firewall istAWS/NetworkFirewall. Melden Sie sich bei der AWS Management Console an und öffnen Sie die CloudWatch Konsole. Wählen Sie im Navigationsbereich Metriken aus. Wählen Sie auf der Registerkarte Alle Metriken die Region und dann AWS/ausNetworkFirewall.
| AWS DevOps |
Zugehörige Ressourcen
