جدار حماية الشبكة من AWS هي خدمة مُدارة تسهِّل نشر عمليات حماية الشبكة الأساسية في كل السُّحب الخاصة الافتراضية بـ Amazon (VPC). ويمكن إعداد الخدمة ببضع نقرات فقط وتوسيع نطاقها تلقائيًا حسب حركة مرور الشبكة لديك، لذا لا داعي للقلق بشأن نشر أي بنية تحتية وإدارتها. يتيح لك محرك القواعد المرن في جدار حماية الشبكة من AWS تحديد قواعد جدار الحماية التي تمنحك تحكمًا دقيقًا في حركة مرور الشبكة، مثل حظر طلبات مجموعة رسائل الخادم (SMB) الصادرة من أجل منع انتشار أي نشاط ضار. ويمكنك أيضًا استيراد القواعد التي كتبتها بالفعل بتنسيقات شائعة للقواعد مفتوحة المصدر، بالإضافة إلى تفعيل عمليات التكامل مع موجزات المعلومات المُدارة الصادرة من شركاء AWS. يعمل جدار حماية الشبكة من AWS جنبًا إلى جنب مع AWS Firewall Manager، لذلك يمكنك وضع سياسات تستند إلى قواعد جدار حماية الشبكة من AWS ثم تطبيق هذه السياسات مركزيًا عبر سُحب VPC والحسابات لديك.
التوافر العالي والتحجيم التلقائي
توفر خدمة جدار حماية الشبكة من AWS تكرارات مضمنة لضمان فحص كل حركات المرور ومراقبتها باستمرار. وتوفر خدمة جدار حماية الشبكة من AWS أيضًا اتفاقية مستوى الخدمة مع الالتزام بوقت التشغيل بنسبة 99.99%. تتيح لك خدمة جدار حماية الشبكة من AWS توسيع نطاق إمكانية جدار الحماية لديك تلقائيًا أو تقليصها بناءً على تحميل حركة المرور للحفاظ على مستوى الأداء الثابت والمتوقع بهدف تقليل التكاليف.
جدار الحماية ذو الحالة
يراعي جدار الحماية ذو الحالة سياق تدفقات حركة المرور لإنفاذ سياسة أكثر دقة، مثل استبعاد الحِزم استنادًا إلى عنوان المصدر أو نوع البروتوكول. وتتطابق معايير المطابقة لجدار الحماية ذي الحالة مع معايير إمكانات الفحص عديمة الحالة في جدار حماية الشبكة من AWS، بالإضافة إلى إعداد المطابقة لاتجاه حركة المرور. يمنحك محرك القواعد المرن في جدار حماية الشبكة من AWS إمكانية كتابة الآلاف من قواعد جدار الحماية استنادًا إلى عنوان IP المصدر/الوجهة والمنفذ المصدر/الوجهة والبروتوكول. وسيحرص جدار حماية الشبكة من AWS على تصفية البروتوكولات الشائعة بدون أي مواصفات للمنفذ، وليس تصفية حركة مرور TCP/UDP فقط.
تصفية الويب
تدعم خدمة جدار حماية الشبكة من AWS تصفية حركة الويب الواردة والصادرة بحثًا عن حركة مرور غير مشفرة على الويب. وبالنسبة إلى حركة المرور المشفرة على الويب، يُستخدم ملحق "إشارة اسم الخادم" (SNI) في حظر الوصول إلى بعض المواقع. علمًا بأن ملحق SNI هو ملحق في "أمن طبقة النقل" (TLS) يظل غير مشفر في تدفق حركة المرور ويشير إلى اسم المضيف الوجهة الذي يحاول العميل الوصول إليه عبر بروتوكول HTTPS. بالإضافة إلى ذلك، يمكن لخدمة جدار حماية الشبكة من AWS تصفية أسماء النطاقات المؤهلة بالكامل (FQDN).
منع التسلل
يجري نظام منع التطفل (IPS) في جدار حماية الشبكة من AWS فحصًا نشطًا لتدفق حركة المرور مع حماية لطبقة الشبكة والتطبيق في الوقت الفعلي من الهجمات الناتجة عن الثغرات الأمنية وهجمات القوة العمياء. ويجري محرك الكشف المستند إلى التوقيع مطابقة بين أنماط حركة مرور الشبكة وتوقيعات التهديدات المعروفة استنادًا إلى سمات مثل تسلسلات وحدات البايت أو أوجه الخلل في الحِزم.
سجلات التنبيهات والتدفقات
تكون سجلات التنبيهات خاصة بالقاعدة وتوفر بيانات إضافية حول القاعدة المشغلة والجلسة المحددة المعنية بتشغيلها. بينما توفر سجلات التدفقات معلومات الحالة حول كل تدفقات حركة المرور التي تمر عبر جدار الحماية، من خلال سطر واحد لكل اتجاه. ويمكن تخزين سجلات التدفقات في جدار حماية الشبكة من AWS محليًا في خدمة التخزين البسيطة في Amazon (Amazon S3) وAmazon Kinesis وAmazon CloudWatch.
الإدارة المركزية وإمكانية الرؤية
AWS Firewall Manager هي خدمة إدارة الأمان تتيح لك نشر سياسات الأمان وإدارتها مركزيًا عبر كل التطبيقات والسُّحب الخاصة الافتراضية (VPC) والحسابات الخاصة بك في AWS Organizations. ويمكن لخدمة AWS Firewall Manager تنظيم مجموعات القواعد في جدار حماية الشبكة من AWS إلى سياسات يمكنك نشرها عبر بنيتك التحتية لمساعدتك في توسيع نطاق إنفاذ هذه السياسات بطريقة متسقة وهرمية. توفر خدمة AWS Firewall Manager عرضًا مجمّعًا للامتثال للسياسات عبر الحسابات، وتعمل على أتمتة عملية المعالجة. وعند إنشاء حسابات وموارد ومكونات شبكة جديدة، فإن خدمة Firewall Manager تسهل امتثالها من خلال إنفاذ مجموعة شائعة من سياسات جدار الحماية.
إدارة القواعد والتخصيص
تتيح خدمة جدار حماية الشبكة من AWS للعملاء تنفيذ قواعد متوافقة مستندة إلى نظام Suricata واردة داخليًا من عملية تطوير قاعدة مخصصة داخليًا، أو خارجيًا من مُوردين تابعين لجهات خارجية أو منصات مفتوحة المصدر.
نظام اتصال مشترك متنوع في عمليات تكامل الشركاء
تتكامل خدمة جدار حماية الشبكة من AWS مع شركاء AWS من أجل التكامل مع التكوين والتنسيق والإدارة المؤتمتة للسياسة المركزية التابعة لجهة خارجية وكذلك تصدير السجلات إلى حلول التحليلات. وتدعم خدمة جدار حماية الشبكة من AWS موجزات المعلومات الشائعة والمُدارة المتعلقة بالتهديدات لدى العملاء الذين يريدون الاستفادة من مُزودي خدمات القواعد المُدارة المتاحة لديهم حاليًا. يمكن توصيل خدمة جدار حماية الشبكة من AWS بحلول التكوين والتنسيق والإدارة المؤتمتة للسياسة التابعة لجهة خارجية من أجل إدارة بُنى تحتية خاصة بمُوردي جدران الحماية المختلطة أو المتعددة. لزيادة مستوى الرؤية، يمكن إرسال المعلومات المتعلقة بحدث الأمان وسجلات جدار حماية الشبكة من AWS إلى حلول التحليلات التابعة لجهات خارجية، مثل برنامج "إدارة معلومات الأمان والأحداث (SIEM)". الاطِّلاع على قائمة كاملة تضم الشركاء في جدار حماية الشبكة من AWS
فحص حركة المرور المشفرة
إن خدمة جدار حماية الشبكة من AWS تدعم فحص "أمن طبقة النقل" (TLS)، ما يتيح للعملاء تعزيز وضعهم الأمني على AWS من خلال تحسين مستوى الرؤية في تدفقات حركات المرور المشفرة. ويمكنك استخدام جدار حماية الشبكة من AWS في فك تشفير جلسات TLS وفحص حركة مرور السحابة الخاصة الافتراضية (VPC) بـ Amazon الواردة والصادرة بدون الحاجة إلى نشر أو إدارة أي بنية تحتية إضافية لأمان الشبكة. يحدث التشفير وفك التشفير على مثيل جدار الحماية نفسه، لذلك لا تعبر حركة المرور أي حدود للشبكة.
ابدأ الإنشاء باستخدام جدار حماية الشبكة من AWS في وحدة تحكم السحابة الخاصة الافتراضية بـ Amazon (Amazon VPC).