使用第三方安全設備實作內嵌流量檢測

Pooja Banerjee，Amazon Web Services (AWS)

2023 年 7 月 (文件歷史記錄)

本指南說明如何在 上使用第三方防火牆設備、 AWS Transit Gateway和 Gateway Load Balancer 來實作內嵌流量檢查架構 AWS 雲端。本指南也說明如何設計和建構您的虛擬私有雲端 (VPCs)，以滿足流量檢查需求，並根據網路流量檢查案例了解流量流程。

內嵌流量檢查可協助您篩選和保護流量，以保護工作負載免受惡意演員攻擊。透過使用防火牆，您可以在網路流量從來源流向目的地時即時檢查網路流量，然後根據防火牆政策允許或拒絕流量。本指南適用於負責管理整個企業網路的網路和安全工程師。本指南討論下列流量檢查使用案例：

目前有數個流量檢查部署可用，包括作用中或待命設定、使用來源網路地址轉譯 (SNAT) 的潛艇堡模型，以及檢查防火牆每一端的負載平衡器，以及 VPN 覆蓋模型。雖然這些選項在可擴展性、高可用性 (HA) 或過度複雜方面可能會有缺點，但您可以使用 Gateway Load Balancer 解決這些問題。

Gateway Load Balancer 適用於開放式系統互連 (OSI) 模型的第 3 層和第 4 層。在第 3 層，Gateway Load Balancer 會以對稱方式將封包從來源透明路由至第三方設備，然後再將其傳送至目的地。在第 4 層，Gateway Load Balancer 除了執行運作狀態檢查之外，還為端點提供高可用性和可擴展的負載平衡功能。由於防火牆是具狀態的設備，從來源到目的地的流量和流量的傳回流程必須保留在相同的防火牆設備上。

本指南提供以下三種使用案例的流量檢查解決方案：