View a markdown version of this page

Inspecionar tráfego de gateways NAT - Amazon Virtual Private Cloud
Como funcionaConexão de dispositivosVisualização de dispositivos conectados

Inspecionar tráfego de gateways NAT

Você pode conectar o proxy do Network Firewall ao seu gateway NAT para inspecionar e filtrar o tráfego em seu gateway NAT. Esse controle de segurança permite que você evite vazamentos de dados fora do seu perímetro confiável e bloqueie qualquer resposta de entrada indesejada.

Como funciona

Ao criar um proxy do Network Firewall, é necessário selecionar um gateway NAT existente ao qual conectar o proxy. Depois de criado, o proxy:

  • O proxy vem com um nome de domínio totalmente qualificado e você precisa configurar suas aplicações para enviar solicitações de conexão http e https ao proxy. O proxy primeiro filtra o nome de domínio na solicitação de conexão com base nas regras inseridas pelo cliente. Se permitido pelo cliente, o proxy então faz uma consulta ao DNS para obter o endereço IP do domínio. Em seguida, ele estabelece uma conexão TCP com o destino final. Com base na habilitação da descriptografia TLS, o proxy então filtra a conexão TLS pelos atributos de endereço IP e cabeçalho e só estabelece uma conexão TLS com o destino se os atributos IP e de cabeçalho (incluindo a ação do cabeçalho e o caminho do URL) forem permitidos pelas políticas.

  • O dispositivo inspeciona e filtra o tráfego.

  • O tráfego permitido continua até o destino (na internet, no ambiente local ou em outra VPC).

Conexão de dispositivos

Os dispositivos são conectados aos gateways NAT por meio do AWS Network Firewall. Para ver as etapas de criação e conexão de dispositivos, consulte o Guia do desenvolvedor de proxy do Network Firewall.

Visualização de dispositivos conectados

Para visualizar os dispositivos conectados ao seu gateway NAT, use o comando describe-nat-gateways:

aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0

A resposta incluirá um campo AttachedAppliances que mostra:

  • Type: o tipo de dispositivo (por exemplo, network-firewall-proxy)

  • ApplianceArn: o ARN do dispositivo conectado

  • AttachmentState: status da conexão atual (attached, detaching, detached, attach_failed, detach_failed)

  • ModificationState: status da modificação atual (modifying, completed, failed)

  • VpcEndpointId: o ID do endpoint da VPC usado para rotear o tráfego das VPCs da aplicação até o proxy para inspeção e filtragem

  • FailureCode: o código de falha se a operação de conexão ou modificação do dispositivo tiver falhado

  • FailureMessage: uma mensagem descritiva explicando a falha se a operação de conexão ou modificação do dispositivo tiver falhado