AWS Network Firewall – Häufig gestellte Fragen

AWS Network Firewall ist ein verwalteter Service, der die einfache Implementierung wichtiger Netzwerkschutzmaßnahmen für alle Ihre Amazon Virtual Private Clouds (VPCs) ermöglicht. Der Service lässt sich mit nur wenigen Klicks einrichten und wird automatisch mit Ihrem Netzwerk-Datenverkehr skaliert, sodass Sie sich nicht um die Bereitstellung und Verwaltung der Infrastruktur kümmern müssen. Mit der flexiblen Regel-Engine von Network Firewall können Sie Firewall-Regeln definieren, die Ihnen eine differenzierte Kontrolle über den Netzwerk-Datenverkehr ermöglichen, z. B. das Blockieren ausgehender Server Message Block (SMB)-Anfragen, um die Verbreitung bösartiger Aktivitäten zu verhindern. Sie können auch Regeln importieren, die Sie bereits in gängigen Open-Source-Regelformaten geschrieben haben, oder kompatible Regeln von AWS-Partnern importieren. AWS Network Firewall arbeitet mit AWS Firewall Manager zusammen, sodass Sie Richtlinien basierend auf Regeln von AWS Network Firewall erstellen und diese Richtlinien dann zentral auf Ihre VPCs und Konten anwenden können.

Die Infrastruktur von AWS Network Firewall wird von AWS verwaltet, sodass Sie sich nicht um den Aufbau und die Wartung Ihrer eigenen Netzwerksicherheitsinfrastruktur kümmern müssen. AWS Network Firewall arbeitet mit dem AWS Firewall Manager zusammen, sodass Sie Sicherheitsrichtlinien zentral verwalten und obligatorische Sicherheitsrichtlinien für bestehende und neu erstellte Konten und VPCs automatisch durchsetzen können. AWS Network Firewall verfügt über eine hochflexible Regel-Engine, mit der Sie individuelle Firewall-Regeln zum Schutz Ihrer individuellen Workloads erstellen können. AWS Network Firewall unterstützt Tausende von Regeln, und die Regeln können auf Domain, Port, Protokoll, IP-Adressen und Musterabgleich basieren.

AWS Network Firewall umfasst Features, die vor gängigen Netzwerkbedrohungen schützen. Die zustandsbehaftete Firewall von AWS Network Firewall kann Kontext aus dem Datenverkehr wie die Nachverfolgung von Verbindungen und die Identifizierung von Protokollen einbeziehen, um Richtlinien durchzusetzen, z. B. um zu verhindern, dass Ihre VPCs über ein nicht autorisiertes Protokoll auf Domains zugreifen. Das Intrusion Prevention System (IPS) von AWS Network Firewall bietet eine aktive Überprüfung des Datenverkehrsflusses, sodass Sie mithilfe der signaturbasierten Erkennung die Ausnutzung von Schwachstellen identifizieren und blockieren können. AWS Network Firewall bietet auch Webfilterung, die den Datenverkehr zu bekannten schädlichen URLs stoppen und vollständig qualifizierte Domain-Namen überwachen kann.

AWS Network Firewall bietet Ihnen die Kontrolle und Transparenz des VPC-zu-VPC-Datenverkehrs, um Netzwerke, in denen sensible Anwendungen oder geschäftskritische Ressourcen gehostet werden, logisch zu trennen. AWS Network Firewall bietet URL-, IP-Adressen- und Domain-basierte Filterung des ausgehenden Datenverkehrs, um Sie bei der Einhaltung von Compliance-Anforderungen zu unterstützen, potenzielle Datenlecks zu stoppen und die Kommunikation mit bekannten Malware-Hosts zu blockieren. AWS Network Firewall sichert AWS-Direct-Connect- und AWS-VPN-Datenverkehr, der über AWS Transit Gateway von Client-Geräten und Ihren On-Premises-Umgebungen ausgeführt wird. AWS Network Firewall schützt die Verfügbarkeit von Anwendungen, indem sie den eingehenden Internet-Datenverkehr mithilfe von Features wie Regeln für Zugriffssteuerungslisten (ACL), zustandsbehafteter Prüfung, Protokollerkennung und Intrusion Prevention filtert.

AWS Network Firewall wurde entwickelt, um den Zugang zu und von Ihrer VPC zu schützen und zu kontrollieren, aber nicht, um volumetrische Angriffe wie Distributed Denial of Service (DDoS) abzuschwächen, die die Verfügbarkeit Ihrer Anwendung beeinträchtigen können. Zum Schutz vor DDoS-Angriffen und zur Sicherstellung der Anwendungsverfügbarkeit empfehlen wir unseren Kunden, unsere Bewährten AWS-Methoden für DDoS-Ausfallsicherheit zu prüfen und zu befolgen und auch AWS Shield Advanced zu erkunden, das einen verwalteten DDoS-Schutz bietet, der auf Ihren spezifischen Anwendungsverkehr zugeschnitten ist.

AWS Network Firewall ergänzt die bestehenden Netzwerk- und Anwendungssicherheitsservices in AWS, indem sie Kontrolle und Transparenz für den Layer 3-7-Netzwerkverkehr in Ihrer gesamten VPC bietet. Sie können je nach Ihrem Anwendungsfall entscheiden, AWS Network Firewall zusammen mit Ihren vorhandenen Sicherheitskontrollen einzusetzen, wie Amazon-VPC-Sicherheitsgruppen, AWS-Web-Application-Firewall-Regeln oder AWS-Marketplace-Appliances.

Die Preise für AWS Network Firewall basieren auf der Anzahl der bereitgestellten Firewalls und der Menge des überprüften Datenverkehrs. Weitere Informationen finden Sie unter Preise für AWS Network Firewall.

Weitere Informationen zur regionalen Verfügbarkeit von AWS Network Firewall finden Sie in der AWS-Regionentabelle.

Eine Reihe von AWS Partner Network (APN)-Partnern bieten Produkte an, die vorhandene AWS-Services ergänzen und Ihnen die Bereitstellung einer nahtlosen und umfassenden Sicherheitsarchitektur in AWS und Ihrer On-Premises Umgebung ermöglichen. Eine aktuelle Liste der APN-Partner, die Produkte anbieten, die AWS Network Firewall ergänzen, finden Sie unter AWS-Network-Firewall-Partner.

AWS Network Firewall bietet ein Service Level Agreement mit einer Verfügbarkeitsverpflichtung von 99,99 %. Mit AWS Network Firewall können Sie Ihre Firewall-Kapazität je nach Datenverkehr automatisch hoch- oder herunterskalieren, um eine konstante, vorhersehbare Leistung zu gewährleisten und die Kosten zu minimieren.

AWS Network Firewall unterliegt Service Quotas für die Anzahl der Firewalls, Firewall-Richtlinien und Regelgruppen, die Sie erstellen können, sowie für andere Einstellungen, z. B. die Anzahl der zustandslosen oder zustandsbehafteten Regelgruppen, die Sie in einer einzelnen Firewall-Richtlinie haben können. Weitere Informationen zu Service Quotas, einschließlich Informationen darüber, wie Sie eine Erhöhung dieser beantragen können, finden Sie auf der Seite AWS-Network-Firewall-Quotas.

AWS Network Firewall unterstützt zwei primäre Bereitstellungstypen: zentralisiert und verteilt. Wenn AWS Network Firewall verteilt ist, kann es in jedem Ihrer Amazon VPCs eingesetzt werden, um es näher an den Anwendungen durchzusetzen. AWS Network Firewall unterstützt auch eine zentralisierte Bereitstellung als VPC-Anlage an Ihrem AWS Transit Gateway. Mit der Network Firewall im Transit-Gateway-Modus, bei dem das symmetrische Routing zur gleichen zonalen Firewall beibehalten wird, können Sie eine Vielzahl von ein- und ausgehendem Datenverkehr zu oder von Internet-Gateways, Direct-Connect-Gateways, PrivateLink, VPN Site-to-Site- und Client-Gateways, NAT-Gateways und sogar zwischen anderen angeschlossenen VPCs und Subnetzen filtern.

AWS Network Firewall wird als Endpunktservice bereitgestellt, ähnlich wie andere Netzwerkservices wie AWS PrivateLink. Ihr AWS-Network-Firewall-Endpunkt muss in einem dedizierten Subnetz innerhalb Ihrer Amazon VPC mit einer Mindestgröße von /28 bereitgestellt werden. AWS Network Firewall überprüft den gesamten Datenverkehr, der zum Endpunkt weitergeleitet wird. Dies ist der Mechanismus für das Einfügen und Filtern von Pfaden. Über die AWS-Firewall-Manager-Konsole oder über Partnerlösungen, die in AWS Firewall Manager integriert sind, können Sie Konfigurationen und Richtlinien zentral mithilfe verschiedener Regeltypen erstellen, z. B. zustandslose Zugriffssteuerungslisten (ACL), zustandsbehaftete Inspektion und Eindringungsschutzsysteme (IPS). Da AWS Network Firewall ein von AWS verwalteter Service ist, kümmert sich AWS um Skalierung, Verfügbarkeit, Ausfallsicherheit und Software-Updates.

Ja. AWS Network Firewall ist ein regionaler Service und sichert den Netzwerkverkehr auf Organisations- und Kontoebene. Wenn Sie Richtlinien und Governance über mehrere Konten hinweg beibehalten wollen, können Sie z. B. AWS Firewall Manager verwenden.

Eine Richtlinie der AWS Network Firewall definiert das Überwachungs- und Schutzverhalten einer Firewall. Die Details dieses Verhaltens sind in den Regelgruppen, die Sie Ihrer Richtlinie hinzufügen, oder in bestimmten Standardeinstellungen der Richtlinie festgelegt. Um eine Firewall-Richtlinie zu verwenden, ordnen Sie die Richtlinie einer oder mehreren Firewalls zu.

Eine Regelgruppe ist ein wiederverwendbarer Satz von Firewall-Regeln zur Überprüfung und Filterung des Netzwerkverkehrs. Sie können zustandslose oder zustandsbehaftete Regelgruppen verwenden, um die Kriterien für die Datenverkehrsprüfung für Ihre Firewall-Richtlinien zu konfigurieren. Sie können Ihre eigenen Regelgruppen erstellen oder Regelgruppen verwenden, die von AWS-Marketplace-Verkäufern verwaltet werden. Weitere Informationen finden Sie im Entwicklerhandbuch zur AWS Network Firewall.

AWS Network Firewall unterstützt sowohl zustandslose als auch zustandsbehaftete Regeln. Zustandslose Regeln bestehen aus Netzwerk-Zugriffssteuerungslisten (ACLs), die auf Quell- und Ziel-IP-Adressen, Ports oder Protokollen basieren können. Zustandsbehaftete Regeln werden durch Quell- und Ziel-IP-Adressen, Ports und Protokolle definiert. Sie unterscheiden sich jedoch von zustandslosen Regeln dadurch, dass sie Verbindungen oder Sitzungen während der gesamten Lebensdauer der Verbindung oder Sitzung aufrechterhalten und sichern.

Die AWS Network Firewall bietet auch verwaltete Regeln, die vorkonfigurierten Schutz bieten. Diese Regeln werden entweder von AWS oder von einem AWS-Partner verwaltet. Regeln, die von einem AWS-Partner verwaltet werden, können über den AWS Marketplace abonniert werden.

Von AWS verwaltete Regeln bieten eine aktive Bedrohungsabwehr, die die globalen Bedrohungsinformationen von AWS nutzt, um automatisch vor aktiven Bedrohungen zu schützen, sowie verwaltete Regelgruppen für Domains, IPs und Bedrohungssignaturen.

Von Partnern verwaltete Regeln bieten kuratierte Regeln, die einfach in die Richtlinien der AWS Network Firewall integriert werden können. Diese Regeln tragen dazu bei, Cloud-Workloads vor verschiedenen Anwendungsfällen zu schützen.

Jeder dieser Regeltypen kann innerhalb Ihrer Firewall-Richtlinien kombiniert werden, um einen umfassenden Schutz zu bieten, der auf Ihre Sicherheitsanforderungen zugeschnitten ist.

Sie können Ihre AWS-Network-Firewall-Aktivität zur weiteren Analyse und Untersuchung in einem Amazon-S3-Bucket protokollieren. Sie können Amazon Kinesis Firehose auch verwenden, um Ihre Protokolle an einen Drittanbieter zu portieren.

Ja. Sie können entweder die native Integrationsfunktion verwenden oder die AWS Network Firewall in Ihrer VPC bereitstellen und diese VPC dann manuell an ein TGW anhängen. Weitere Informationen zu dieser Konfiguration finden Sie im Blogbeitrag Bereitstellungsmodelle für AWS Network Firewall.

AWS Network Firewall verwendet bereits AWS Gateway Load Balancer, um eine elastische Skalierbarkeit für den Firewall-Endpunkt bereitzustellen, und erfordert keine separate Integration. Sie können dies beobachten, indem Sie die Elastic-Network-Schnittstelle (ENI) des Firewall-Endpunkts überprüfen, das den Typ „gateway_load_balancer_endpoint“ verwendet.

Die Preise für AWS Network Firewall basieren auf der Anzahl der bereitgestellten Firewalls und der Menge des überprüften Datenverkehrs. Wenn Sie eine Firewall mehreren VPCs zuordnen, zahlen Sie den standardmäßigen Stundensatz pro Region und AZ für den primären Firewall-Endpunkt in der Inspektions-VPC. Sie zahlen einen reduzierten Stundensatz pro Region und AZ für jeden weiteren sekundären Endpunkt, der dieser Firewall zugeordnet ist. Sie zahlen auch für den von Ihrer Firewall verarbeiteten Datenverkehr, abgerechnet nach Gigabyte pro Region und AZ. Weitere Kosteninformationen zu mehreren Endpunkten finden Sie unter AWS Network Firewall – Preisgestaltung.

AWS Network Firewall unterstützt die folgenden Arten der Steuerung des ausgehenden Datenverkehrs: URL-Filterung des HTTPS- (SNI)/HTTP-Protokolls, Zugriffssteuerungslisten (ACLs), DNS-Abfrage und Protokollerkennung.

AWS Network Firewall skaliert automatisch auf bis zu 100 Gbit/s Bandbreite pro AZ. Die Bandbreite von 100 Gbit/s wird von allen zugehörigen VPC-Endpunkten gemeinsam genutzt. Daher sollten Kunden bei der Planung ihrer Bereitstellung das erwartete Gesamtverkehrsvolumen berücksichtigen. Die Leistung kann beeinträchtigt werden, wenn ein einzelner Endpunkt überbucht ist. Wir empfehlen unseren Kunden, ihre eigenen Tests mit ihren eigenen Regeln durchzuführen, um sicherzustellen, dass der Service ihre Leistungserwartungen erfüllt.

Dem Firewall-Besitzerkonto werden die Inspektions-Firewall sowie alle sekundären Endpunkte, die der Firewall in jeder AZ zugeordnet sind, in Rechnung gestellt. Nur dem Firewall-Besitzer werden alle zugehörigen primären und sekundären Endpunkte in Rechnung gestellt, einschließlich kontoübergreifender Endpunktzuordnungen.

AWS Network Firewall unterstützt Deep Packet Inspection für verschlüsselten Datenverkehr.

AWS-Network-Firewall-Protokolle können nativ in Amazon S3, Amazon Kinesis Data Firehose und Amazon CloudWatch gespeichert werden. Die folgenden Metriken sind für jeden VPC-Endpunkt verfügbar: empfangene Pakete, verworfene Pakete, ungültige verworfene Pakete, andere verworfene Pakete und übergebene Pakete.

Sie können die TLS-Inspektion von AWS Network Firewall entweder über die Amazon-VPC-Konsole oder die Network-Firewall-API konfigurieren. Die Einrichtung erfolgt in 3 Schritten. Folgen Sie den Schritten in der Dokumentation zum AWS-Network-Firewall-Service, um 1) Zertifikate und Schlüssel bereitzustellen, 2) eine TLS-Prüfkonfiguration zu erstellen und 3) die Konfiguration auf eine Firewall-Richtlinie anzuwenden.

Der Service unterstützt TLS-Version 1.1, 1.2 und 1.3 mit Ausnahme von Encrypted Client Hello (ECH) und Encrypted SNI (ESNI).

AWS Network Firewall unterstützt alle von AWS Certificate Manager (ACM) unterstützten Verschlüsselungssuiten. Details finden Sie in den Überlegungen zur TLS-Inspektion in der Service-Dokumentation.

Die Preise für AWS Network Firewall basieren auf der Anzahl der bereitgestellten Firewalls und der Menge des überprüften Datenverkehrs. Weitere Informationen zu den Kosten für die TLS-Ingress-Inspektion finden Sie unter AWS Network Firewall – Preisgestaltung.

Wir gehen davon aus, dass die aktuelle Bandbreitenleistung von AWS Network Firewall mit diesem neuen Feature beibehalten wird. Wir empfehlen unseren Kunden, ihre eigenen Tests mit ihren eigenen Richtlinien durchzuführen, um sicherzustellen, dass der Service ihre Leistungserwartungen erfüllt.

Sie können verwaltete Regelgruppen zur aktiven Bedrohungsabwehr auf der AWS Network Firewall über die AWS-Managementkonsole, die AWS CLI oder die AWS SDKs aktivieren. Für die AWS Network Firewall können Sie beim Erstellen oder Aktualisieren einer Firewall-Richtlinie die Regelgruppe zur aktiven Bedrohungsabwehr in der Dropdown-Liste der von AWS verwalteten Regelgruppen auswählen. Nach dem Hinzufügen wird automatisch die verwaltete Regelgruppe zur aktiven Bedrohungsabwehr in Ihrer Firewall-Richtlinie angezeigt. Sie können die Regelgruppe in unterstützten Durchsetzungsmodi wie Warnung oder Ablehnen weiter konfigurieren.

Verwaltete Regelgruppen zur aktiven Bedrohungsabwehr in AWS Network Firewall unterscheiden sich in mehreren Punkten von bestehenden verwalteten Regelgruppen für Domains, IP-Adressen und Bedrohungssignaturen. In erster Linie basieren die Regeln zur aktiven Bedrohungsabwehr auf Amazon-Bedrohungsinformationen. Diese Funktion konzentriert sich auf den schnellen Schutz vor aktiven Bedrohungen, die von Amazon-Bedrohungsinformationen identifiziert wurden. Wenn eine aktive Bedrohung erkannt wird, wendet AWS Network Firewall automatisch verwaltete Regeln an, um die Bedrohung zu blockieren. Die aktive Bedrohungsabwehr ist so konzipiert, dass sie andere verwaltete Regelgruppen ergänzt und eine zusätzliche Schutzebene bietet.

AWS Network Firewall lässt sich nahtlos in Amazon CloudWatch integrieren und bietet umfassende Protokollierungs- und Überwachungsfunktionen, mit denen Sie Regelübereinstimmungen und Leistungsmetriken verfolgen können. Über den Bereich „Verwaltete Regelgruppen zur aktiven Bedrohungsabwehr“ der Network-Firewall-Konsole erhalten Sie einen besseren Überblick über Ihre Sicherheitslage, einschließlich Details zu Indikatorgruppen, Indikatortypen und spezifischen Bedrohungsnamen, die abgewehrt werden. 

Ja, wenn in Ihrer Firewall-Richtlinie Regelgruppen zur aktiven Bedrohungsabwehr aktiviert sind, zahlen Sie für den von Ihrem Firewall-Endpunkt verarbeiteten Datenverkehr eine zusätzliche Gebühr. Dieser Datenverkehr wird pro Gigabyte pro Region und Availability Zone abgerechnet.      

Verwaltete Regelgruppen zur aktiven Bedrohungsabwehr nutzen eine feste Regelkapazität von 15 000, während die Standardgesamtgrenze weiterhin bei 30 000 zustandsbehafteten Regeln pro Firewall-Richtlinie in einer Region liegt. Sie können ohne zusätzliche Kosten eine Kontingent-Erhöhung für zustandsbehaftete Regeln auf Kontoebene beantragen. Weitere Informationen zu den Kontingenten der AWS Network Firewall und zur Beantragung einer Limiterhöhung für zustandsbehaftete Regeln, finden Sie in der Servicedokumentation.