Inspectez le trafic provenant des passerelles NAT - Amazon Virtual Private Cloud
Comment ça marcheFixation d'appareilsAffichage des appareils connectés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inspectez le trafic provenant des passerelles NAT

Vous pouvez associer un proxy Network Firewall à votre passerelle NAT pour inspecter et filtrer le trafic sur votre passerelle NAT. Ce contrôle de sécurité vous permet de prévenir les fuites de données en dehors de votre périmètre de confiance et de bloquer toute réponse entrante indésirable.

Comment ça marche

Lors de la création d'un proxy Network Firewall, vous devez sélectionner une passerelle NAT existante à laquelle vous souhaitez connecter le proxy. Une fois créé, le proxy :

  • Le proxy est fourni avec un nom de domaine complet et vous devez configurer vos applications pour envoyer des demandes de connexion http et https au proxy. Le proxy filtre d'abord le nom de domaine dans la demande de connexion en fonction des règles saisies par le client. Si le client l'autorise, le proxy effectue ensuite une requête DNS pour obtenir l'adresse IP du domaine. Il a ensuite établi une connexion TCP avec la destination finale. Selon que le déchiffrement TLS est activé ou non, le proxy filtre ensuite la connexion TLS en fonction de l'adresse IP et des attributs d'en-tête et n'établit une connexion TLS avec la destination que si les attributs IP et d'en-tête (y compris l'action d'en-tête et le chemin URL) sont autorisés par les politiques.

  • L'appliance inspecte et filtre le trafic.

  • Le trafic autorisé continue vers la destination (sur Internet, dans un environnement sur site ou dans un autre VPC).

Fixation d'appareils

Les appliances sont connectées aux passerelles NAT via AWS Network Firewall. Pour savoir comment créer et connecter des appliances, consultez le guide du développeur de Network Firewall Proxy.

Affichage des appareils connectés

Pour afficher les appareils connectés à votre passerelle NAT, utilisez la describe-nat-gatewayscommande suivante :

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

La réponse inclut un AttachedAppliances champ indiquant :

  • Type — Le type d'appareil (par exemple,network-firewall-proxy)

  • ApplianceArn— L'ARN de l'appliance connectée

  • AttachmentState— État actuel de la pièce jointe (attacheddetaching,detached,attach_failed,detach_failed)

  • ModificationState— État actuel de la modification (modifying,completed,failed)

  • VpcEndpointId— L'ID du point de terminaison VPC utilisé pour acheminer le trafic de l'application vers le proxy VPCs à des fins d'inspection et de filtrage

  • FailureCode— Le code d'erreur en cas d'échec de l'opération de fixation ou de modification de l'appliance

  • FailureMessage— Un message descriptif expliquant la panne en cas d'échec de l'opération de connexion ou de modification de l'appliance