本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用第三方安全设备实现在线流量检查
Pooja Banerjee,亚马逊网络服务 () AWS
2023 年 7 月(文件历史记录)
本指南介绍如何通过在上使用第三方防火墙设备和网关负载均衡器来实现内联流量检查架构。AWS Transit GatewayAWS Cloud本指南还介绍如何设计和架构您的虚拟私有云 (VPC) 以满足流量检查要求并根据网络流量检查场景了解流量。
内联流量检查可帮助您筛选和保护流量,保护您的工作负载免受恶意攻击者的侵害。通过使用防火墙,您可以实时检查网络流量从源流向目的地,然后根据防火墙策略允许或拒绝流量。本指南适用于负责管理企业级网络的网络和安全工程师。该指南讨论了以下交通检查用例:
-
检查两个工作负载 VPC 之间的流量
-
监控从现有工作负载 VPC 流向互联网的流量
-
通过AWS Direct Connect连接监控从工作负载 VPC 到本地的流量
目前有多种流量检查部署可供选择,包括主动或备用设置、使用源网络地址转换 (SNAT) 且检查防火墙两侧均配有负载均衡器的三明治模型,以及 VPN 叠加模型。尽管这些选项在可扩展性、高可用性 (HA) 或过于复杂方面可能存在缺点,但您可以使用网关负载均衡器来解决这些问题。
网关负载均衡器在开放系统互联 (OSI) 模型的第 3 层和第 4 层工作。在第 3 层,网关负载均衡器透明地将数据包从源路由到第三方设备,然后以对称方式将其发送到目的地。在第 4 层,网关负载均衡器除了执行运行状况检查外,还为端点提供高可用性和可扩展的负载平衡功能。由于防火墙是有状态的设备,因此从源到目标的流量和流量的返回流必须保持在同一个防火墙设备上。
本指南为以下三个用例提供了交通检查解决方案:
