---
title: "亚马逊云科技推出 AWS Network Firewall 代理的预览版，简化托管出站安全性"
type: "News"
locale: "zh-CN"
url: "https://longbridge.com/zh-CN/news/271165123.md"
description: "亚马逊云科技推出 AWS Network Firewall 代理的预览版，旨在简化托管出站安全性。该服务与 NAT Gateway 集成，允许用户管理 VPC 出站访问的安全策略。代理采用三阶段模型评估流量，支持 TLS 拦截和直接加密隧道。尽管该服务在集中式设置中可减少管理负担，但目前仅适用于 HTTP/HTTPS 流量，限制了其通用性。"
datetime: "2025-12-30T18:51:00.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/271165123.md)
  - [en](https://longbridge.com/en/news/271165123.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/271165123.md)
---

# 亚马逊云科技推出 AWS Network Firewall 代理的预览版，简化托管出站安全性

亚马逊云科技最近推出了 AWS Network Firewall 代理的预览版，这是一种用于代理管理和部署的托管服务。据该公司称，此服务使客户能够更专注于管理其 VPC 出站（outbound）访问的安全策略。

Network Firewall 代理与 NAT Gateway 服务集成，后者在 VPC 内运行，并处理外出流量的 IP 地址转换。用户的应用程序可以通过由提供支持的、针对代理的特定 VPC 接口端点，从本地和远程 VPC 连接到该代理。

https://static001.geekbang.org/infoq/32/32a8f9868f7ac4572ed9865f6fbe5bb2.png
（图片来源：）

与传统的透明防火墙不同，此代理通过处理 HTTP CONNECT 请求并代表应用程序建立连接来检查网络流量。它采用按顺序的三阶段模型评估流量：

每个阶段都可以应用访问规则；如果流量在早期阶段被阻止，则不会触发后续阶段，从而优化处理效率。

用户可以配置 Network Firewall 的代理以拦截 TLS 或允许 TLS 直接通过而不做处理。若启用 TLS 拦截，代理会为目标地址生成证书，使其能够检查 HTTP 层内容并应用策略。然而，工作负载必须信任代理的证书颁发机构。相反，当拦截被禁用时，会在工作负载和目的地之间直接建立端到端加密隧道，防止代理解密有效载荷并将策略执行限制于如 DNS、IP 地址或 SNI 等未加密的元数据。

在架构上，该服务支持分布式（每个 VPC）和集中式模型。在集中式设置中，工程师可以利用 Transit Gateway 或 Cloud WAN 将来自多个 VPC 的出口流量路由到单一代理端点，显著减少修补和扩展传统自托管 Squid 集群的管理 “负担”。然而，正如 Ivo Pinto 在中指出的那样，一个关键限制是该代理仅适用于 HTTP/HTTPS 流量，使其成为一种专业工具而非通用的网络防火墙。

在关于 Network Firewall Proxy 的博客文章中，作者写到：

目前，该服务在提供预览版。Kayesee 在 Reddit 讨论中评论说：

最后，关于该代理的更多详情可以在找到。

## 相关资讯与研究

- [GTM 新挑战：你的下一个客户可能是 AI](https://longbridge.com/zh-CN/news/286361794.md)
- [美国 FDA 再失核心高管，药品审评研究中心主任 Hoeg 即将离职](https://longbridge.com/zh-CN/news/286604395.md)
- [今日有楼睇｜二手楼价指数连升四周 再创两年多新高](https://longbridge.com/zh-CN/news/286552498.md)
- [DTCC 新证券融资保证金模型获 SEC 批准](https://longbridge.com/zh-CN/news/286305838.md)
- [使用 AWS Lambda Extensions 在响应后执行遥测刷写](https://longbridge.com/zh-CN/news/284984621.md)