检查来自 NAT 网关的流量 - Amazon Virtual Private Cloud
工作原理挂载设备查看挂载的设备
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

检查来自 NAT 网关的流量

您可以将 Network Firewall 代理挂载到 NAT 网关,来检查和筛选 NAT 网关上的流量。此安全控制有助您防止数据泄露到可信边界之外,以及阻止任何不需要的入站响应。

工作原理

创建 Network Firewall 代理时,您需要选择要挂载该代理的现有 NAT 网关。创建该代理后:

  • 该代理将具有一个完全限定域名,并且您需要将应用程序设置为将 http 和 https 连接请求发送到该代理。该代理会首先根据客户输入的规则筛选连接请求中的域名。如果客户允许,该代理随后会进行 DNS 查询以获取该域的 IP 地址。然后,该代理将与最终目标建立 TCP 连接。代理随后会根据是否启用了 TLS 解密,按 IP 地址和标头属性筛选 TLS 连接,并且仅在策略允许 IP 和标头属性(包括标头操作和 url 路径)的情况下,才与目标建立 TLS 连接。

  • 设备会检查和筛选流量。

  • 允许的流量会继续到达目标(在互联网、本地环境或其他 VPC 中)。

挂载设备

设备通过 Amazon Network Firewall 挂载到 NAT 网关。有关创建和挂载设备的步骤,请参阅 Network Firewall 代理开发人员指南

查看挂载的设备

要查看挂载到 NAT 网关的设备,请使用 describe-nat-gateways 命令:

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

响应将包括 AttachedAppliances 字段,其中会显示下列信息:

  • Type:设备类型(例如 network-firewall-proxy

  • ApplianceArn:所挂载设备的 ARN

  • AttachmentState:当前挂载状态(attacheddetachingdetachedattach_faileddetach_failed

  • ModificationState:当前修改状态(modifyingcompletedfailed

  • VpcEndpointId:用于将流量从应用程序 VPC 路由到该代理以进行检查和筛选的 VPC 端点 ID

  • FailureCode:设备挂载或修改操作失败时的故障代码

  • FailureMessage:解释设备挂载或修改操作失败时所发生故障的解释性消息