本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用防火牆應用裝置與閘道 Load Balancer 檢查來自網際網路的輸入流
客戶使用第三方新世代防火牆 (NGFW) 和入侵防禦系統 (IPS) 作為其深度防禦策略的一部分。 傳統上,這些通常是專用的硬件或軟件/虛擬設備。您可以使用閘道 Load Balancer 水平擴展這些虛擬應用裝置,以檢查來自 VPC 和傳送至 VPC 的流量,如下圖所示。
在先前的架構中,閘道 Load Balancer 端點會部署到個別邊緣 VPC 中的每個可用區域。新一代防火牆、入侵防護系統等部署在集中式設備 VPC 中的閘道 Load Balancer 後方。此設備 VPC 可以位於與支點 VPC 相同的 AWS 帳戶或不同的 AWS 帳戶。虛擬應用裝置可以設定為使用 Auto Scaling 群組,並自動向閘道 Load Balancer 註冊,以便自動調整安全層。
這些虛擬應用裝置可透過 Internet Gateway (IGW) 存取其管理介面,或使用應用裝置 VPC 中的防禦主機設定來管理。
使用 VPC 輸入路由功能,邊緣路由表會更新,以將來自網際網路的輸入流量路由到閘道 Load Balancer 後方的防火牆應用裝置。已檢查的流量會透過閘道 Load Balancer 端點路由至目標 VPC 執行個體。如需各種使用AWS 閘道 Load Balancer 方式的詳細資訊,請參閱閘道 Load Balancer 簡介:支援的架構模式