Come posso configurare un Firewall di rete AWS con un gateway NAT?
Desidero configurare il Firewall di rete AWS per ispezionare il traffico utilizzando un gateway NAT.
Descrizione breve
Il Firewall di rete AWS offre un controllo più granulare sul traffico da e verso le risorse all'interno di Amazon Virtual Private Cloud (Amazon VPC). Per proteggere le risorse Amazon VPC, puoi implementare gli endpoint Firewall di rete nelle relative sottoreti e indirizzare il traffico delle istanze del carico di lavoro con il loro impiego. Questa operazione può essere svolta tramite:
- Creazione di un VPC
- Creazione di un firewall
- Configurazione del routing del traffico
Nota: Il Firewall di rete non può ispezionare i carichi di lavoro nella stessa sottorete in cui sono implementati gli endpoint del firewall.
Soluzione
Creazione di un VPC
- Apri la console Amazon VPC.
- Nella dashboard VPC, fai clic su Crea VPC.
- In Impostazioni del VPC, inserisci quanto segue:
Scegli VPC e altro.
In Generazione automatica del tag del nome, inserisci un nome per il VPC. Per questo esempio, il VPC è denominato Protected\ _VPC\ _10.0.0.0\ _16-vpc. Se viene selezionata l'opzione Generazione automatica, il nome verrà aggiunto come tag del nome a tutte le risorse nel VPC.
Per il blocco CIDR IPv4, inserisci 10.0.0.0/16.
Per il blocco CIDR IPv6, scegli Nessun blocco CIDR IPv6.
Per Tenancy, scegli Impostazione predefinita.
Per Numero di zone di disponibilità (AZ), scegli 2.
In Personalizza le zone di disponibilità, scegli due zone di disponibilità. Per questo esempio, vengono selezionati us-east-2a e us-east-2b.
Per Numero di sottoreti pubbliche, scegli 2.
Per Numero di sottoreti private, scegli 4. Due delle sottoreti private sono destinate al firewall, mentre le altre due al carico di lavoro.
Per Gateway NAT ($), scegli 1 per AZ. I gateway NAT vengono implementati automaticamente nelle sottoreti pubbliche.
Per gli endpoint VPC, scegli Nessuno. - Scegli Crea VPC.
- Assegna un nome alle sottoreti in base allo scopo:
Le due sottoreti pubbliche sono destinate ai gateway NAT e, per questo esempio, sono denominate Public\ _Subnet\ _AZa e Public\ _Subnet\ _AZb.
Per le sottoreti private, due sono destinate agli endpoint del firewall e, per questo esempio, sono denominate Firewall\ _Subnet\ _AZa e Firewall\ _Subnet\ _AZb.
Le altre due sottoreti private sono destinate agli endpoint del carico di lavoro e, per questo esempio, sono denominate Private\ _Subnet\ _AZa e Private\ _Subnet\ _AZb.
Creazione di un firewall
- Nel pannello di navigazione, in Firewall di rete, scegli Firewall.
- Scegli Crea firewall.
- In Crea firewall, inserisci quanto segue:
Inserisci un nome per il firewall. In questo esempio, il firewall è denominato Network-Firewall-Test.
Per VPC, scegli Protected\ _VPC\ _10.0.0.0\ _16-vpc.
Per Sottoreti del firewall, scegli la prima zona di disponibilità (us-east-2a) e scegli Firewall\ _Subnet\ _AZa per la sottorete. Quindi, scegli Aggiungi nuova sottorete e ripeti per la seconda zona di disponibilità (us-east-2b), poi scegli Firewall\ _Subnet\ _AzB per la sottorete.
Per Policy firewall associata, scegli Crea e associa una policy del firewall vuota.
In Nuovo nome della policy del firewall, inserisci un nome per la nuova policy. - Scegli Crea firewall. Ogni sottorete deve avere una tabella di routing univoca. Alle quattro sottoreti private è associata una tabella di routing univoca, mentre le sottoreti pubbliche condividono una tabella di routing. È necessario creare una nuova tabella di routing con una route statica verso un gateway Internet e associarla a una delle sottoreti pubbliche.
Configurazione del routing del traffico
Il traffico scorre come segue:
- Il traffico avviato dall'istanza del carico di lavoro in AZa viene inoltrato all'endpoint del firewall in AZa.
- L'endpoint del firewall in AZa indirizzerà il traffico verso il gateway NAT in AZa.
- Il gateway NAT in AZa inoltra il traffico al gateway Internet associato al VPC.
- Il gateway Internet inoltra il traffico verso Internet.
Il traffico in senso inverso segue lo stesso percorso nella direzione opposta:
- Il traffico di ritorno da Internet raggiunge il gateway Internet collegato al VPC. A un VPC può essere collegato un solo gateway Internet.
- Il gateway Internet inoltra il traffico al gateway NAT in AZa. Il gateway Internet prende questa decisione in base alla zona di disponibilità del carico di lavoro. Poiché la destinazione del traffico è in AZa, il gateway Internet sceglie il gateway NAT in AZa per inoltrare il traffico. Non è necessario mantenere una tabella di routing per il gateway Internet.
- Il gateway NAT in AZa inoltra il traffico all'endpoint del firewall in AZa.
- L'endpoint del firewall in AZa inoltra il traffico al carico di lavoro in AZa.
**Nota:**I gateway Internet possono identificare il gateway NAT per i pacchetti che ritornano da Internet alle istanze del carico di lavoro.
Dopo aver creato il VPC e il firewall, è necessario configurare le tabelle di routing. Quando configuri le tabelle di routing, tieni presente quanto segue:
- La sottorete privata in AZa (Private\ _Subnet\ _AZa) inoltra tutto il traffico destinato a Internet all'endpoint del firewall in AZa (Firewall\ _Subnet\ _AZa). Questa operazione viene ripetuta con la sottorete privata in AZb e l'endpoint del firewall in AZb.
- La sottorete del firewall in AZa (Firewall\ _Subnet\ _AZa) inoltra tutto il traffico destinato a Internet a un gateway NAT in AZa (Public\ _Subnet\ _AZa). Questa operazione viene ripetuta con la sottorete del firewall in AZb e il gateway NAT in AZb.
- La sottorete pubblica in AZa (Public\ _Subnet\ _AZa) inoltra tutto il traffico al gateway Internet collegato al VPC.
- Il traffico di ritorno segue lo stesso percorso in senso inverso.
Nota: Il traffico viene mantenuto nella stessa zona di disponibilità in modo che il firewall di rete abbia sia il percorso del traffico in uscita che quello in ingresso attraverso lo stesso endpoint del firewall. Ciò consente agli endpoint del firewall in ogni zona di disponibilità di effettuare ispezioni stateful dei pacchetti.
Di seguito sono riportati esempi di configurazioni delle tabelle di routing:
Public\ _Subnet\ _RouteTable\ _AZa (associazione di sottoreti: Public_Subnet_AZa)
Destinazione | Target |
---|---|
0.0.0.0/0 | Gateway Internet |
10.0.0.0/16 | Locale |
10.0.128.0/20 | Endpoint del firewall in AZa |
**Nota:**In questo esempio, 10.0.128.0/20 è il CIDR di Private\ _Subnet\ _AZa.
Public_Subnet_RouteTable_AZb (associazione di sottoreti: Public_Subnet_AZb)
Destinazione | Target |
---|---|
0.0.0.0/0 | Gateway Internet |
10.0.0.0/16 | Locale |
10.0.16.0/20 | Endpoint del firewall in AZb |
**Nota:**In questo esempio, 10.0.16.0/20 è il CIDR di Private\ _Subnet\ _AZb.
Firewall_Subnet_RouteTable_AZa (associazione di sottoreti: Firewall_Subnet_AZa)
Destinazione | Target |
---|---|
0.0.0.0/0 | Gateway NAT in Public\ _Subnet\ _AZa |
10.0.0.0/16 | Locale |
Firewall_Subnet_RouteTable_AZb (associazione di sottoreti: Firewall_Subnet_AZb)
Destinazione | Target |
---|---|
0.0.0.0/0 | Gateway NAT in Public\ _Subnet\ _AZb |
10.0.0.0/16 | Locale |
Private_Subnet_RouteTable_AZa (associazione di sottoreti: Private_Subnet_AZa)
Destinazione | Target |
---|---|
0.0.0.0/0 | Endpoint del firewall in AZa |
10.0.0.0/16 | Locale |
Private_Subnet_RouteTable_AZb (associazione di sottoreti: Private_Subnet_AZb)
Destinazione | Target |
---|---|
0.0.0.0/0 | Endpoint del firewall in AZb |
10.0.0.0/16 | Locale |
Per verificare se il routing è stato configurato correttamente, puoi implementare un'istanza EC2 in una delle sottoreti private per testare la connettività Internet. Senza alcuna regola configurata nella policy del firewall di rete, il traffico non verrà ispezionato e potrà raggiungere Internet. Dopo aver confermato la configurazione del routing, del gruppo di sicurezza e delle liste di controllo degli accessi alla rete (ACL), aggiungi delle regole alla policy del firewall.
Nota: Puoi configurare il Firewall di rete anche per indirizzare il traffico da Internet attraverso il firewall e quindi il gateway NAT. Per ulteriori informazioni, vedi Architecture with an internet gateway and a NAT gateway.
Informazioni correlate
Logging and monitoring in AWS Network Firewall
Concetti relativi alla tabella di routing
Deployment models for AWS Network Firewall with VPC routing enhancements
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa