Überprüfen Sie den Verkehr von NAT-Gateways - Amazon Virtual Private Cloud
FunktionsweiseAppliances anschließenAngeschlossene Appliances anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen Sie den Verkehr von NAT-Gateways

Sie können einen Netzwerk-Firewall-Proxy an Ihr NAT-Gateway anhängen, um den Datenverkehr auf Ihrem NAT-Gateway zu überprüfen und zu filtern. Mit dieser Sicherheitskontrolle können Sie Datenlecks außerhalb Ihres vertrauenswürdigen Perimeters verhindern und unerwünschte eingehende Antworten blockieren.

Funktionsweise

Wenn Sie einen Netzwerk-Firewall-Proxy erstellen, müssen Sie ein vorhandenes NAT-Gateway auswählen, an das der Proxy angeschlossen werden soll. Nach der Erstellung hat der Proxy:

  • Der Proxy wird mit einem vollqualifizierten Domainnamen geliefert und Sie müssen Ihre Anwendungen so einrichten, dass sie HTTP- und HTTPS-Verbindungsanfragen an den Proxy senden. Der Proxy filtert zunächst den Domainnamen in der Verbindungsanfrage auf der Grundlage der vom Kunden eingegebenen Regeln. Wenn der Kunde dies zulässt, führt der Proxy dann eine DNS-Abfrage durch, um die IP-Adresse der Domain abzurufen. Anschließend wurde eine TCP-Verbindung mit dem Endziel hergestellt. Je nachdem, ob die TLS-Entschlüsselung aktiviert ist, filtert der Proxy dann die TLS-Verbindung anhand der IP-Adresse und der Header-Attribute und stellt nur dann eine TLS-Verbindung mit dem Ziel her, wenn die IP- und Header-Attribute (einschließlich der Header-Aktion und des URL-Pfads) nach den Richtlinien zulässig sind.

  • Die Appliance überprüft und filtert den Datenverkehr.

  • Zulässiger Verkehr wird bis zum Ziel weitergeführt (im Internet, in der lokalen Umgebung oder in einer anderen VPC).

Appliances anschließen

Appliances werden über die AWS Network Firewall an NAT-Gateways angeschlossen. Anweisungen zum Erstellen und Anhängen von Appliances finden Sie im Network Firewall Proxy Developer Guide.

Angeschlossene Appliances anzeigen

Verwenden Sie den describe-nat-gatewaysfolgenden Befehl, um Appliances anzuzeigen, die an Ihr NAT-Gateway angeschlossen sind:

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

Die Antwort enthält ein AttachedAppliances Feld mit folgenden Angaben:

  • Typ — Der Gerätetyp (z. B.network-firewall-proxy)

  • ApplianceArn— Die ARN der angeschlossenen Appliance

  • AttachmentState— Aktueller Status des Anhangs (attacheddetaching,,detached,attach_failed,detach_failed)

  • ModificationState— Aktueller Änderungsstatus (modifying,completed,failed)

  • VpcEndpointId— Die VPC-Endpunkt-ID, die verwendet wird, um den Datenverkehr VPCs zur Inspektion und Filterung von der Anwendung zum Proxy weiterzuleiten

  • FailureCode— Der Fehlercode, wenn der Vorgang zum Anhängen oder Ändern der Appliance fehlgeschlagen ist

  • FailureMessage— Eine beschreibende Meldung, die den Fehler erklärt, falls der Vorgang zum Anschließen oder Ändern der Appliance fehlgeschlagen ist