Funcionamiento Asociación de dispositivos Visualización de dispositivos asociados

Inspección del tráfico proveniente de las puertas de enlace NAT

Puede asociar un proxy de Network Firewall a la puerta de enlace NAT para inspeccionar y filtrar el tráfico que pasa por la puerta de enlace NAT. Este control de seguridad permite evitar filtraciones de datos fuera del perímetro de confianza y bloquea cualquier respuesta entrante no deseada.

Funcionamiento

Al crear un proxy de Network Firewall, es obligatorio seleccionar una puerta de enlace NAT existente con la que asociar el proxy. Una vez creado, el proxy:

El proxy incluye un nombre de dominio completo y es necesario configurar las aplicaciones para que envíen las solicitudes HTTP y HTTPS CONNECT al proxy. El proxy filtra primero el nombre de dominio de la solicitud CONNECT en función de las reglas definidas por el cliente. Si las reglas lo permiten, el proxy realiza a continuación una consulta de DNS para obtener la dirección IP del dominio. A continuación, establece una conexión TCP con el destino final. En función de si el descifrado de TLS está habilitado, el proxy filtra a continuación la conexión TLS según la dirección IP y los atributos del encabezado, y solo establece una conexión TLS con el destino si la dirección IP y los atributos del encabezado (incluida la acción del encabezado y la ruta de la URL) están permitidos por las políticas.
El dispositivo inspecciona y filtra el tráfico.
El tráfico permitido continúa hacia el destino, ya sea en Internet, en un entorno en las instalaciones o en otra VPC.

Asociación de dispositivos

Los dispositivos se asocian a las puertas de enlace NAT a través de AWS Network Firewall. Para conocer los pasos necesarios para crear y asociar dispositivos, consulte la Guía para desarrolladores del proxy de Network Firewall.

Visualización de dispositivos asociados

Para ver los dispositivos asociados a la puerta de enlace NAT, utilice el comando describe-nat-gateways:


aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

La respuesta incluye un campo AttachedAppliances que muestra lo siguiente:

Type: el tipo de dispositivo (por ejemplo, network-firewall-proxy)
ApplianceArn: el ARN del dispositivo asociado
AttachmentState: estado de asociación actual (attached, detaching, detached, attach_failed y detach_failed)
ModificationState: estado de modificación actual (modifying, completed y failed)
VpcEndpointId: el ID de punto de conexión de VPC que se utiliza para enrutar el tráfico desde las VPC de aplicaciones hacia el proxy para su inspección y filtrado
FailureCode: el código de error en caso de que la operación de asociación o modificación del dispositivo haya fallado
FailureMessage: un mensaje descriptivo que explica el error en caso de que la operación de asociación o modificación del dispositivo haya fallado

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

DNS64 y NAT64

Métricas de CloudWatch