使用带有 Gateway Load Balancer 的防火墙设备检查来自互联网的入站流量

客户使用第三方下一代防火墙 (NGFW) 和入侵防御系统 (IPS) 作为其深度防御策略的一部分。 传统上，这些设备通常是专用的硬件或软件/虚拟设备。您可以使用 Gateway Load Balancer 水平扩展这些虚拟设备，以检查进出您的 VPC 的流量，如下图所示。

使用带有 Gateway Load Balancer 的防火墙设备集中检查入口流量

在前面的架构中，Gateway Load Balancer 终端节点部署在单独的边缘 VPC 中的每个可用区中。下一代防火墙、入侵防御系统等部署在集中式设备 VPC 中的 Gateway Load Balancer 后面。此设备 VPC 可以与分支 VPC 位于相同的 AWS 账户中，也可以位于不同的 AWS 账户中。虚拟设备可以配置为使用 Auto Scaling 组，并自动向网关负载均衡器注册，从而允许自动扩展安全层。

这些虚拟设备可以通过通过 Internet Gateway (IGW) 访问其管理界面或使用设备 VPC 中的堡垒主机设置进行管理。

使用 VPC 入口路由功能，可以更新边缘路由表，将入站流量从互联网路由到 Gateway Load Balancer 后面的防火墙设备。被检查的流量通过 Gateway Load Balancer 终端节点路由到目标 VPC 实例。有关使用 AWS Gateway Load Balancer 的各种方式的详细信息，请参阅网关负载均衡器简介：支持的架构模式博客文章。