View a markdown version of this page

FAQ - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

FAQ

Ai-je besoin d'un équilibreur de charge pour acheminer le trafic Internet via un pare-feu dans un déploiement multi-AZ ?

AWS Network Firewall est transparent pour le trafic entrant et sortant et ne nécessite pas d'équilibreur de charge pour lui-même. Un équilibreur de charge est uniquement requis pour l'application (comme dans un déploiement multi-AZ standard). Dans l'architecture de zone périmétrique de ce guide, Network Firewall est inséré via les tables de routage et les interfaces réseau correspondantes dans le sous-réseau public.

Si l'Application Load Balancer ne se trouve pas dans un sous-réseau public (acheminé vers une passerelle Internet), s'agit-il d'un Application Load Balancer interne ?

L'Application Load Balancer n'est pas un Application Load Balancer interne. L'Application Load Balancer continue d'accéder au sous-réseau externe connecté à Internet, même si le sous-réseau n'est pas directement connecté à Internet. Le sous-réseau est accessible à Internet de manière transparente car le routage entre le sous-réseau du point de terminaison et le sous-réseau public est basé sur l'interface réseau de Network Firewall.

Network Firewall a-t-il besoin de son propre sous-réseau de sécurité ?

Oui, Network Firewall a besoin de son propre sous-réseau de sécurité. Le sous-réseau de sécurité (public) est requis pour garantir que le routage du trafic depuis et vers l'Application Load Balancer peut être contrôlé via les tables de routage.

L'architecture cible est-elle valide pour le pare-feu du trafic entrant et sortant ?

Oui, l'architecture cible est valide pour le pare-feu du trafic entrant et sortant. Si une connexion est établie depuis l'application vers l'extérieur du VPC, vous devez ajouter une passerelle NAT au sous-réseau du point de terminaison. Vous devez également transférer le trafic du sous-réseau de l'application vers la passerelle NAT à l'aide d'une table de routage (comme l'illustre l'application Route table dans le schéma de l'architecture de zone périmétrique basée sur la section Network Firewall de ce guide). Aucune autre modification n'est alors requise, car tout le trafic sortant passe toujours par Network Firewall.