Implemente un firewall mediante AWS Network Firewall y AWS Transit Gateway - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implemente un firewall mediante AWS Network Firewall y AWS Transit Gateway

Creado por Shrikant Patil () AWS

Repositorio de código: - aws-network-firewall-deployment with-transit-gateway

Entorno: PoC o piloto

Tecnologías: redes DevOps; seguridad, identidad y conformidad

AWSservicios: AWS Network Firewall; AWS Transit Gateway; AmazonVPC; Amazon CloudWatch

Resumen

Este patrón muestra cómo implementar un firewall mediante AWS Network Firewall y AWS Transit Gateway. Los recursos de Network Firewall se implementan mediante una AWS CloudFormation plantilla. Network Firewall escala automáticamente con el tráfico de la red y puede admitir cientos de miles de conexiones, por lo que no tiene que preocuparse por crear y mantener su propia infraestructura de seguridad de red. Una puerta de enlace de tránsito es un centro de tránsito de red que puede usar para interconectar sus nubes privadas virtuales (VPCs) y sus redes locales.

En este patrón, también aprenderá a incluir una inspección VPC en la arquitectura de su red. Por último, este patrón explica cómo utilizar Amazon CloudWatch para supervisar la actividad de su firewall en tiempo real.

Consejo: Se recomienda evitar el uso de una subred de Network Firewall para implementar otros AWS servicios. Esto se debe a que Network Firewall no puede inspeccionar el tráfico de fuentes o destinos dentro de la subred de un firewall.

Requisitos previos y limitaciones

Requisitos previos 

  • Una cuenta activa AWS

  • AWSPermisos de rol y política de Identity and Access Management (IAM)

  • CloudFormation permisos de plantilla

Limitaciones

Es posible que tenga problemas con el filtrado de dominios y que necesite un tipo diferente de configuración. Para obtener más información, consulte Grupos de reglas de listas de dominios con estado en AWS Network Firewall en la documentación de Network Firewall.

Arquitectura

Pila de tecnología

  • Amazon CloudWatch Logs

  • Amazon VPC

  • AWS Network Firewall

  • AWS Transit Gateway

Arquitectura de destino

El siguiente diagrama muestra cómo utilizar Network Firewall y Transit Gateway para inspeccionar el tráfico:

AWSTransit Gateway conecta la inspecciónVPC, la salida VPC y dos radiosVPCs.

La arquitectura incluye los siguientes componentes:

  • Su aplicación está alojada en los dos radiosVPCs. VPCsEstán supervisados por Network Firewall.

  • La salida VPC tiene acceso directo a la puerta de enlace de Internet, pero no está protegida por Network Firewall.

  • La inspección VPC es donde se implementa Network Firewall.

Automatizar y escalar

Se puede utilizar CloudFormationpara crear este patrón mediante el uso de la infraestructura como código.

Herramientas

AWSservicios

  • Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y AWS servicios para que pueda supervisarlos y archivarlos de forma segura.

  • Amazon Virtual Private Cloud (AmazonVPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esta red virtual se parece a una red tradicional que utilizaría en su propio centro de datos, con las ventajas de utilizar la infraestructura escalable que ofreceAWS.

  • AWSNetwork Firewall es un firewall de red gestionado y con estado y un servicio de detección y prevención de intrusiones para VPCs la AWS nube.

  • AWSTransit Gateway es un hub central que conecta VPCs las redes locales.

Código

El código de este patrón está disponible en el repositorio de implementación GitHub AWS de Network Firewall con Transit Gateway. Puede usar la CloudFormation plantilla de este repositorio para implementar una sola inspección VPC que utilice Network Firewall.

Epics

TareaDescripciónHabilidades requeridas

Prepare e implemente la CloudFormation plantilla.

  1. Descarga la cloudformation/aws_nw_fw.yml plantilla del GitHub repositorio.

  2. Actualice la plantilla con sus valores.

  3. Implemente la plantilla.

AWS DevOps
TareaDescripciónHabilidades requeridas

Crear una puerta de enlace de tránsito

  1. Inicie sesión en la consola AWS de administración y abra la VPCconsola de Amazon.

  2. En el panel de navegación, elija Transit Gateways (Puertas de enlace de tránsito).

  3. Elija Create Transit Gateway (Crear puerta de enlace de tránsito).

  4. En Name tag (Etiqueta de nombre), puede escribir un nombre para la puerta de enlace de tránsito.

  5. En Description (Descripción), escriba una descripción para la puerta de enlace de tránsito.

  6. Para el número de sistema autónomo del lado de Amazon (ASN), deja el ASN valor predeterminado.

  7. Selecciona la opción DNSde soporte.

  8. Seleccione la opción VPNECMPde soporte.

  9. Seleccione la opción de asociación de tablas de enrutamiento predeterminada. Esta opción asocia automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

  10. Seleccione la opción de propagación de tablas de enrutamiento predeterminada. Esta opción propaga automáticamente las conexiones de puerta de enlace de tránsito a la tabla de enrutamiento predeterminada de la puerta de enlace de tránsito.

  11. Elija Create Transit Gateway (Crear puerta de enlace de tránsito).

AWS DevOps

Cree conexiones de puerta de enlace de tránsito.

Cree una conexión de puerta de enlace de tránsito para lo siguiente:

  • Un adjunto de inspección en la subred de inspección VPC y Transit Gateway

  • Un VPCA accesorio Spoke en la subred radial VPCA y privada

  • Un VPCB accesorio Spoke en la subred radial VPCB y privada

  • Un VPC adjunto de salida en la subred de salida VPC y privada

AWS DevOps

Cree una tabla de enrutamiento de la puerta de enlace de tránsito.

  1. Cree una tabla de rutas de la puerta de enlace de tránsito para el radio. VPC Esta tabla de rutas debe estar asociada a todas las VPCs demás, excepto a la inspecciónVPC.

  2. Cree una tabla de enrutamiento de la puerta de enlace de tránsito para el firewall. Esta tabla de rutas debe estar asociada VPC únicamente a la inspección.

  3. Añada una ruta a la tabla de enrutamiento de la puerta de enlace de tránsito para el firewall.

    • Para 0.0.0/0 ello, utilice el VPC accesorio de salida.

    • Para el VPCA CIDR bloque Spoke, utilice el VPC1 accesorio Spoke.

    • Para el VPCB CIDR bloque Spoke, utilice el VPC2 accesorio Spoke.

  4. Añada una ruta para el radio a la tabla de rutas de la pasarela de tránsitoVPC. Para ello0.0.0/0, utilice el VPC archivo adjunto de inspección.

AWS DevOps
TareaDescripciónHabilidades requeridas

Cree un firewall en la inspecciónVPC.

  1. Inicie sesión en la consola AWS de administración y abra la VPCconsola de Amazon.

  2. En el panel de navegación, en Firewall de red, seleccione Firewalls.

  3. Seleccione Crear firewall.

  4. En Nombre, introduzca el nombre que desea utilizar para identificar este firewall. No puede cambiar el nombre de un firewall después de crearlo.

  5. Para VPC, selecciona tu inspecciónVPC.

  6. En Zona de disponibilidad y subred, seleccione la zona y la subred del firewall que identificó.

  7. En la sección Política de firewall asociada, elija Asociar una política de firewall existente y, a continuación, seleccione la política de firewall que creó anteriormente.

  8. Seleccione Crear firewall.

AWS DevOps

Cree una política de firewall.

  1. Inicie sesión en la consola AWS de administración y abra la VPCconsola de Amazon.

  2. En el panel de navegación, en Network Firewall, elija Políticas de firewall.

  3. En la página Describir la política de firewall, elija Crear política de firewall.

  4. En Nombre, introduzca el nombre que desea utilizar para la política de firewall. Utilizará el nombre para identificar la política cuando la asocie al firewall más adelante en este patrón. No se puede cambiar el nombre de una política de firewall después de crearla.

  5. Elija Siguiente.

  6. En la página Añadir grupos de reglas, en la sección Grupos de reglas sin estado, elija Añadir grupos de reglas sin estado.

  7. En el cuadro de diálogo Añadir desde grupos de reglas existentes, active la casilla de verificación del grupo de reglas sin estado que creó anteriormente. Seleccione Añadir grupos de reglas. Nota: En la parte inferior de la página, el contador de capacidad de la política de firewall muestra la capacidad consumida al añadir este grupo de reglas junto a la capacidad máxima permitida para una política de firewall.

  8. Establece la acción predeterminada sin estado en Reenviar a reglas con estado.

  9. En la sección Grupo de reglas con estado, elija Añadir grupos de reglas con estado y, a continuación, active la casilla de verificación del grupo de reglas con estado que creó anteriormente. Seleccione Añadir grupos de reglas.

  10. Elija Siguiente para recorrer el resto del asistente de configuración y, a continuación, elija Crear política de firewall.

AWS DevOps

Actualice sus tablas de VPC rutas.

Tablas de VPC rutas de inspección

  1. En la tabla de enrutamiento de subred ANF (Inspection-ANFRT), añada 0.0.0/0 al ID de Transit Gateway.

  2. En la tabla de enrutamiento de subred de Transit Gateway (Inspection-TGWRT), 0.0.0/0 agréguelo a la salida VPC.

Tabla de enrutamiento de radios VPCA

En la tabla de enrutamiento privada, añada 0.0.0.0/0 al ID de Transit Gateway.

Tabla de VPCB enrutamiento de radios

En la tabla de enrutamiento privada, añada 0.0.0.0/0 al ID de Transit Gateway.

Tablas de VPC rutas de salida

En la tabla de rutas públicas de salida, añada el VPCB CIDR bloque Spoke VPCA and Spoke al ID de Transit Gateway. Repita el mismo paso para la subred privada.

AWS DevOps
TareaDescripciónHabilidades requeridas

Actualice la configuración de registro del firewall.

  1. Inicie sesión en la consola AWS de administración y abra la VPCconsola de Amazon.

  2. En el panel de navegación, en Firewall de red, elija Firewalls.

  3. En la página Firewalls, elija el nombre del firewall que desea editar.

  4. Seleccione la pestaña de detalles de Firewall. En la sección Registro, elija Editar.

  5. Ajuste las selecciones Tipos de registro según sea necesario. Puede configurar el registro para los registros de alertas y flujos.

    • Alerta: envía registros del tráfico que coincide con cualquier regla de estado en la que la acción esté configurada como Alerta o Cancelación. Para obtener más información sobre las reglas con estado y los grupos de reglas, consulte Grupos de reglas en AWS Network Firewall.

    • Flujo: envía registros de todo el tráfico de red que el motor sin estado reenvía al motor de reglas con estado.

  6. Para cada tipo de registro seleccionado, elija el tipo de destino y, a continuación, proporcione la información del destino del registro. Para obtener más información, consulte los destinos de registro de AWS Network Firewall en la documentación de Network Firewall.

  7. Seleccione Guardar.

AWS DevOps
TareaDescripciónHabilidades requeridas

Lance una EC2 instancia para probar la configuración.

Lance dos instancias de Amazon Elastic Compute Cloud (AmazonEC2) de forma inmediataVPC: una para Jumpbox y otra para probar la conectividad.

AWS DevOps

Compruebe las métricas.

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por las diversas combinaciones de dimensiones dentro de cada espacio de nombres. El espacio de CloudWatch nombres de Network Firewall es. AWS/NetworkFirewall

  1. Inicie sesión en la consola AWS de administración y abra la CloudWatch consola.

  2. En el panel de navegación, seleccione Métricas.

  3. En la pestaña Todas las métricas, elija la región y, a continuación, elija AWS/NetworkFirewall.

AWS DevOps

Recursos relacionados