AWS Network Firewall 常见问题

AWS Network Firewall 是一项托管服务，可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。您只需单击几下鼠标就可以设置此服务，它随着网络流量而自动缩放，因此无需担心基础设施的部署和管理问题。Network Firewall 灵活的规则引擎使您可以定义防火墙规则，从而为您提供对网络流量的精细控制，例如阻止出站服务器消息块 (SMB) 请求以防止恶意活动蔓延。您还可以导入按常见开源规则格式编写的规则，或者导入来自 AWS 合作伙伴的兼容规则。AWS Network Firewall 与 AWS Firewall Manager 协同工作，因此您可以构建基于 AWS Network Firewall 规则的策略，然后跨多个 VPC 和账户集中应用这些策略。

AWS Network Firewall 基础设施由 AWS 管理，因此您不必担心构建和维护自己的网络安全基础设施。AWS Network Firewall 与 AWS Firewall Manager 配合使用，因此您可以集中管理安全策略，并对现有和新创建的账户与 VPC 自动实施强制性安全策略。AWS Network Firewall 具有高度灵活的规则引擎，因此您可以构建自定义防火墙规则来保护自己的独特工作负载。AWS Network Firewall 支持数千条规则，这些规则可以基于域、端口、协议、IP 地址和模式匹配。

AWS Network Firewall 包括防止常见网络威胁的功能。AWS Network Firewall 的有状态防火墙可以合并来自流量的上下文，如跟踪连接和协议识别，以实施策略，例如防止 VPC 使用未经授权的协议访问域。AWS Network Firewall 的入侵防御系统 (IPS) 提供主动流量检测功能，从而使您可以通过基于签名的检测来识别和阻止漏洞利用。AWS Network Firewall 还提供 Web 筛选，该功能可以停止对已知恶意 URL 的流量，并监控完全限定域名。

AWS Network Firewall 使您可以控制和查看 VPC 到 VPC 的流量，从而在逻辑上分离托管敏感应用程序或业务线资源的网络。AWS Network Firewall 提供 URL、IP 地址和基于域的出站流量筛选，可帮助您满足合规性要求、阻止潜在的数据泄露并阻止与已知恶意软件主机的通信。AWS Network Firewall 可保护通过 AWS Transit Gateway 从客户端设备和本地环境运行的 AWS Direct Connect 和 AWS VPN 流量。AWS Network Firewall 使用访问控制列表 (ACL) 规则、状态检查、协议检测和入侵防御等功能筛选入站互联网流量，从而保护应用程序的可用性。

AWS Network Firewall 旨在保护和控制进出您的 VPC 的访问权限，但并非用于缓解可能影响应用程序可用性的容量型攻击，例如分布式拒绝服务 (DDoS)。为了防御 DDoS 攻击并确保应用程序可用性，我们建议客户查看并遵守我们的实现 DDoS 弹性的 AWS 最佳实践，并且探索 AWS Shield Advanced，该服务提供针对特定应用程序流量定制的托管 DDoS 保护。

AWS Network Firewall 通过为整个 VPC 的第 3-7 层网络流量提供控制和可见性，有效补充 AWS 上现有的网络和应用程序安全服务。根据您使用案例的不同，您可以选择将 AWS Network Firewall 与现有安全控件（如 Amazon VPC Security Groups、AWS Web Application Firewall 规则或 AWS Marketplace 设备）结合实施。

AWS Network Firewall 定价基于部署的防火墙数量和检查的流量。请访问 AWS Network Firewall 定价了解更多信息。

有关 AWS Network Firewall 区域可用性的更多信息，请参阅 AWS 区域表。

许多 AWS 合作伙伴网络（APN）合作伙伴提供的产品可补充现有 AWS 服务，使您能够在 AWS 和本地环境中部署无缝而全面的安全架构。有关提供 AWS Network Firewall 补充产品的 APN 合作伙伴的最新列表，请参阅 AWS Network Firewall 合作伙伴。

AWS Network Firewall 提供服务等级协议，承诺正常运行时间为 99.99%。AWS Network Firewall 可让您根据流量负载自动扩展或缩减防火墙容量，以保持稳定、可预测的性能，从而最大限度地降低成本。

AWS Network Firewall 受如下方面服务配额的约束：您可以创建的防火墙、防火墙策略和规则组数量以及其他设置，例如单个防火墙策略中可以包含的无状态或有状态规则组的数量。有关服务配额的更多详细信息，包括有关如何申请增加服务配额的信息，请参阅 AWS Network Firewall 配额页面。

AWS Network Firewall 支持两种主要部署类型：集中式和分布式。采用分布式部署时，AWS Network Firewall 可以部署在您的每个 Amazon VPC 中，以便在距离应用程序更近的位置实施。AWS Network Firewall 还支持以 VPC 附件的形式集中部署到您的 AWS Transit Gateway。 使用 Transit Gateway 模式下的 Network Firewall（其保持对称路由到同一个区域防火墙），您可以筛选进出互联网网关、Direct Connect 网关、PrivateLink、VPN Site-to-Site 和客户端网关、NAT 网关甚至是其他已附加 VPC 和子网之间的各种入站和出站流量。

AWS Network Firewall 作为端点服务进行部署，类似于 AWS PrivateLink 等其他网络服务。您的 AWS Network Firewall 端点必须部署在自有 Amazon VPC 内的专用子网中，最小大小为 /28。AWS Network Firewall 会检查路由到端点的所有流量，这是路径插入和筛选的机制。通过 AWS Firewall Manager 控制台，或通过与 AWS Firewall Manager 集成的合作伙伴解决方案，您可以使用各种规则类型集中构建配置和策略，例如无状态访问控制列表（ACL）、有状态检查和入侵防御系统（IPS）。由于 AWS Network Firewall 是一项 AWS 托管服务，因此 AWS 负责处理扩展、可用性、弹性和软件更新。

可以。AWS Network Firewall 是一项区域服务，可在组织和账户层面保护网络流量。如需维护多个账户的策略和治理，您可能需要使用 AWS Firewall Manager。

AWS Network Firewall 策略定义了防火墙的监控和保护行为。该行为的详细信息在添加到策略的规则组或某些默认策略设置中定义。要使用防火墙策略，您需要将该策略与一个或多个防火墙相关联。

规则组是一组可重复使用的防火墙规则，用于检查和过滤网络流量。您可以使用无状态或有状态规则组来配置防火墙策略的流量检查标准。您可以创建自己的规则组，也可以使用由 AWS Marketplace 卖家管理的规则组。有关更多信息，请参阅 AWS Network Firewall 开发人员指南。

AWS Network Firewall 支持无状态和有状态规则。无状态规则由网络访问控制列表（ACL）组成，这些列表可以基于源和目标 IP 地址、端口或协议。状态规则由源和目标 IP 地址、端口和协议定义，但与无状态规则的不同之处在于，它们在连接或会话的整个生命周期中维护和保护连接或会话。

AWS Network Firewall 还提供托管规则，可提供预配置的保护。这些规则由 AWS 托管或由 AWS 合作伙伴托管。AWS 合作伙伴托管规则可通过 AWS Marketplace 订阅获取。

AWS 托管规则提供主动威胁防御功能（利用 AWS 全球威胁情报自动抵御活跃威胁），以及域名、IP 和威胁特征码托管规则组。

合作伙伴托管规则提供精心筛选的规则集，可轻松集成到 AWS Network Firewall 策略中。这些规则助力防护多种使用案例下的云工作负载。

上述各类规则可在防火墙策略中灵活组合，构建贴合您安全需求的全面防护体系。

您可以将您的 AWS Network Firewall 活动记录到 Amazon S3 存储桶中，以便进一步分析和调查。您还可以使用 Amazon Kinesis Firehose 将日志传送到第三方提供商。

可以。您既可以使用原生集成功能，也可以在您的 VPC 中部署 AWS Network Firewall，然后手动将该 VPC 附加到 TGW。有关此配置的更多信息，请参阅 AWS Network Firewall 的部署模型博客文章。

AWS Network Firewall 已经使用 AWS 网关负载均衡器为防火墙端点提供灵活的可扩展性，不需要单独集成。通过检查使用“gateway_load_balancer_endpoint”类型的防火墙端点弹性网络接口（ENI），您就可以观察到这一点。

AWS Network Firewall 定价基于部署的防火墙数量和检查的流量。如果您将防火墙与多个 VPC 关联，则需要针对检查 VPC 中的主要防火墙端点，为每个区域和 AZ 按标准小时费率付费。每增加一个与该防火墙关联的次要端点，均需针对每个区域和 AZ，按优惠后的小时费率付费。您还需要为防火墙处理的流量付费，该费用针对每个区域和 AZ，按照数据量（GB）计费。请访问 AWS Network Firewall 定价，了解有关多个端点的更多费用信息。

AWS Network Firewall 支持以下类型的出站流量控制：HTTPS (SNI) /HTTP 协议 URL 过滤、访问控制列表（ACL）、DNS 查询和协议检测。

AWS Network Firewall 可在每个 AZ 自动纵向扩展至 100 Gbps 带宽。该 100 Gbps 带宽由所有关联的 VPC 端点共享，因此客户在规划部署时应考虑预期的总流量。若单个端点存在超额订阅情况，可能会影响性能。我们建议客户使用自己的规则亲自进行测试，以确保该服务符合他们的性能预期。

防火墙所有者账户需为每个 AZ 内的检测防火墙，以及与该防火墙关联的所有次要端点支付费用。仅防火墙所有者需为所有关联的主要端点和次要端点付费，包括跨账户端点关联场景。

AWS Network Firewall 确实支持对加密流量进行深度数据包检查。

AWS Network Firewall 日志可以原生存储在 Amazon S3、Amazon Kinesis Data Firehose 和 Amazon CloudWatch 中。每个 VPC 端点支持以下指标：接收数据包、丢弃数据包、无效丢弃数据包、其他丢弃数据包和通过数据包。

您可以通过 Amazon VPC 控制台或 Network Firewall API 配置 AWS Network Firewall TLS 检查。设置过程分为 3 步。按照 AWS Network Firewall 服务文档中的步骤，1) 预置证书和密钥，2) 创建 TLS 检查配置，3) 将配置应用于防火墙策略。

该服务支持 TLS 版本 1.1、1.2 和 1.3，但加密的客户端问候 (ECH) 和加密 SNI (ESNI) 除外。

AWS Network Firewall 支持 AWS Certificate Manager (ACM) 支持的所有密码套件。有关详细信息，请参阅服务文档中的 TLS 检查注意事项。

AWS Network Firewall 定价基于部署的防火墙数量和检查的流量。请访问 AWS Network Firewall 定价，了解有关入口 TLS 检查费用的更多信息。

我们希望通过此新功能版本保持当前的 AWS Network Firewall 带宽性能。我们建议客户使用自己的规则集亲自进行测试，以确保该服务符合他们的性能预期。

您可以通过 AWS 管理控制台、AWS CLI 或 AWS SDK 在 AWS Network Firewall 上启用主动威胁防御托管规则组。对于 AWS Network Firewall，您可以在创建或更新防火墙策略时，从 AWS 托管规则组的下拉菜单中选择主动威胁防御规则组。添加后，您将在防火墙策略中自动看到该主动威胁防御托管规则组。您可以在支持的执行模式（如警报模式或拒绝模式）下进一步配置该规则组。

AWS Network Firewall 的主动威胁防御托管规则组在多个方面与现有的域名、IP 及威胁特征码托管规则组存在差异。核心区别在于，主动威胁防御规则基于 Amazon 威胁情报构建。该功能专注于针对 Amazon 威胁情报识别的活跃威胁提供快速防护。当识别到活跃威胁时，AWS Network Firewall 会自动应用托管规则来拦截该威胁。主动威胁防御旨在补充其他托管规则组的防护能力，提供额外的安全防护层。

AWS Network Firewall 与 Amazon CloudWatch 无缝集成，提供全面的日志记录和监控功能，帮助您跟踪规则匹配情况和性能指标。通过 Network Firewall 控制台的“主动威胁防御托管规则组”部分，您可以增强对自身安全状况的可见性，包括指标组、指标类型以及正在缓解的特定威胁名称等详细信息。 

是，在防火墙策略中启用主动威胁防御规则组时，您需要为防火墙端点处理的流量支付额外费用。此流量按每个区域和可用区的每千兆字节计费。      

主动威胁防御托管规则组采用 15,000 的固定规则容量，而单个区域内每个防火墙策略的有状态规则默认总限制仍为 30,000 条。您可以在账户级别请求增加有状态规则的配额，且无需支付额外费用。要了解有关 AWS Network Firewall 配额的更多信息并请求提高有状态规则上限，请参阅服务文档。