View a markdown version of this page

Periksa lalu lintas dari gateway NAT - Amazon Virtual Private Cloud
Cara kerjanyaMemasang peralatanMelihat peralatan yang terpasang

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Periksa lalu lintas dari gateway NAT

Anda dapat melampirkan Proxy Firewall Jaringan ke NAT Gateway Anda untuk memeriksa dan memfilter lalu lintas di NAT Gateway Anda. Kontrol keamanan ini memungkinkan Anda untuk mencegah kebocoran data di luar perimeter tepercaya Anda dan memblokir respons masuk yang tidak diinginkan.

Cara kerjanya

Saat membuat Proxy Firewall Jaringan, Anda harus memilih Gateway NAT yang ada untuk melampirkan Proxy. Setelah dibuat, Proxy:

  • Proxy dilengkapi dengan nama domain yang sepenuhnya memenuhi syarat dan Anda perlu mengatur aplikasi Anda untuk mengirim permintaan http dan https connect ke Proxy. Proxy pertama menyaring nama domain dalam permintaan connect berdasarkan aturan yang dimasukkan oleh pelanggan. Jika diizinkan oleh pelanggan, proxy kemudian membuat query DNS untuk mendapatkan alamat IP domain. Kemudian membangun koneksi TCP dengan tujuan akhir. Berdasarkan apakah dekripsi TLS diaktifkan, proxy kemudian memfilter koneksi TLS pada alamat IP dan atribut header dan hanya membuat koneksi TLS dengan tujuan jika atribut IP dan header (termasuk tindakan header dan jalur url) diizinkan oleh kebijakan.

  • Alat memeriksa dan menyaring lalu lintas.

  • Lalu lintas yang diizinkan berlanjut ke tujuan (di internet atau lingkungan di prem atau VPC lain).

Memasang peralatan

Peralatan terpasang ke Gateway NAT melalui Network Firewall AWS . Untuk langkah-langkah dalam membuat dan melampirkan peralatan, lihat Panduan Pengembang Proxy Firewall Jaringan.

Melihat peralatan yang terpasang

Untuk melihat peralatan yang terpasang pada NAT Gateway Anda, gunakan describe-nat-gatewaysperintah:

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

Responsnya mencakup AttachedAppliances bidang yang menunjukkan:

  • Jenis - Jenis alat (mis.,network-firewall-proxy)

  • ApplianceArn— ARN dari alat yang terpasang

  • AttachmentState— Status lampiran saat ini (attached,detaching,detached,attach_failed,detach_failed)

  • ModificationState— Status modifikasi saat ini (modifying,completed,failed)

  • VpcEndpointId— ID titik akhir VPC yang digunakan untuk merutekan lalu lintas dari aplikasi ke proxy VPCs untuk inspeksi dan penyaringan

  • FailureCode— Kode kegagalan jika pemasangan alat atau operasi modifikasi gagal

  • FailureMessage— Pesan deskriptif yang menjelaskan kegagalan jika lampiran alat atau operasi modifikasi gagal