Tag: Network Firewall

本文介绍了一种在 AWS 中使用 AWS Network Firewall（NFW）检查和过滤私有子网出站流量的新部署架构，该方案无需变更现有 NAT 网关和公网业务子网，并能实现变更过程的零停机。

Network Firewall 为您的 VPC 和子网提供了全面的网络流量检查与防护功能。本文将基于出站流量检查分布式部署模型，详细阐述如何通过 AWS Console 完成 NFW 的安装过程。安装和配置完成后，NFW 的安全策略能够对私有子网中的主机进行所有对外 Internet 访问的控制，并将这些访问活动记录在 NFW 日志中。

如果您希望把出入互联网的流量（即南北向流量）通过 NFW 进行检查及过滤，您需要修改 VPC 中的子网对应的路由表，而具体应如何进行路由设计，取决于您根据业务需求所选择的具体部署模型。本文提供了一个高阶路由设计，展示了四种部署模型的示例路由表配置来实现您的需求。

如果您需要对互联网出站和入站流量（即南北向流量）进行检查和过滤，您可以在您的 VPC 网络中部署 Network Firewall。本文介绍了四种推荐的部署模型：出站分布式、出站集中式、入站分布式和入站集中式。此外，还介绍了基于这四种模型衍生出的两种组合模型。每种模型都有其自身的优势和劣势，您应根据安全和运维需求选择适合您的模型。