AWS Network Firewall

定价摘要/套餐

使用 AWS Network Firewall,您需要针对每个区域和可用区,按小时费率为每个防火墙端点付费。您还需要为防火墙端点处理的流量付费,该费用针对每个区域和可用区,按照数据量(GB)计费。我们将按照由防火墙端点处理的每 GB 数据收取数据处理费用,无论流量的来源或目的地如何。

高级检查

当您使用 TLS 检查功能时,您需要针对每个区域和可用区,按照额外小时费率支付高级检查费用。在某些地区,使用 TLS 检查功能时,您还可能要为防火墙端点处理的高级检查流量支付额外费用,该费用按每个地区和可用区的数据量(GB)计费。通过 AWS Network Firewall 的所有数据也会产生标准的 AWS 数据传输费用。

高级威胁防护

在防火墙策略中启用主动威胁防御托管规则组时,您需要为防火墙端点处理的流量支付额外费用。此流量按每个区域和可用区的每千兆字节计费。

多个防火墙端点

如果您将防火墙与多个 Amazon Virtual Private Cloud(VPC)关联,则需要针对检查 VPC 中的主防火墙端点,为每个区域和可用区按标准小时费率付费。在同一区域和可用区内,每增加一个与该防火墙关联的辅助端点,均需针对每个区域和可用区,按优惠后的小时费率付费。您还需要为防火墙处理的流量付费,该费用针对每个区域和可用区,按照数据量(GB)计费。

NAT 网关折扣

如果您创建 NAT 网关并将其放置在 AWS 账户内服务链中的 AWS Network Firewall 旁边,则可以免除标准 NAT 网关每小时的费用和数据处理使用费。此豁免按一对一的方式适用于标准 Network Firewall 端点每小时使用量和标准 Network Firewall 流量处理使用量。要获得此权益,您的 NAT 网关和 Network Firewall 必须位于同一区域,并且必须将 NAT 网关配置在与您的 Network Firewall 端点相同的网络路径中。此权益不包括 Network Firewall 高级检查端点和 Network Firewall 高级检查流量处理以及 Network Firewall 次要端点。 

定价表 - 按区域和可用区

通过 AWS Marketplace 中 AWS 合作伙伴的托管规则组

当您订阅 AWS Marketplace 合作伙伴提供的托管规则组时,您需要根据卖家设定的价格额外付费。这些费用不包括在此前的 AWS Network Firewall 费用内。

示例 1 - 具有 NAT 网关的 Network Firewall 定价

在本示例中,您创建了一个网络防火墙和一个 NAT 网关。您还有一个 Amazon EC2 实例,其流量通过网络防火墙和 NAT 网关路由至互联网。您的 EC2 实例向您的一个 S3 存储桶发送一个 1GB 文件。EC2 实例、网络防火墙、NAT 网关和 S3 存储桶均位于美国东部(弗吉尼亚州北部)区域,并且网络防火墙、NAT 网关和 EC2 实例均在同一可用区中。以下费用适用:

  • Network Firewall 端点每小时费用:预调配防火墙端点每小时收取 0.395 美元。
  • Network Firewall 数据处理费用:防火墙处理 1GB 数据收取 0.065 美元。
  • NAT 网关每小时收费:预调配防火墙端点的每小时不收费。
  • NAT 网关数据处理费用:对于防火墙处理的每 GB 数据,不收取 NAT 网关处理的每 GB 数据费用。
  • EC2 数据传输费用:适用标准 EC2 数据传输费用。由于您的 EC2 实例和 S3 存储桶位于同一个区域,因此在两者之间传输数据不收取任何费用。 由于流量使用私有 IP 地址保留在同一可用区,因此数据在 NAT 网关和 EC2 实例之间传输也无需收费。如果您的 NAT 网关和 EC2 实例位于不同的可用区,则将收取 EC2 数据传输费用。有关更多详细信息,请参阅 EC2 定价页面的数据传输部分。

因此,使用 NAT 网关时,防火墙处理 1GB 数据的总费用为 0.065 美元,再加上预调配防火墙的每小时费用 0.395 美元。此示例中没有数据传输费用。但是,如果您将相同的文件发送到非 AWS 互联网位置,则数据从 EC2 传输到互联网将收取 EC2 数据传输费用。

注意:为避免支付 NAT 网关数据处理费用,您可以创建网关 VPC 端点并通过 VPC 端点(而不是通过 NAT 网关)将流量路由至/出 S3。使用网关 VPC 端点不产生数据处理或小时费用。有关如何使用 VPC 端点的详细信息,请访问 VPC 端点文档

示例 2 - 具有 NAT 网关的 Network Firewall 定价

在本示例中,您在美国东部(弗吉尼亚州北部)区域的 2 个可用区(AZ)中创建了 2 个网络防火墙。防火墙每月处理总计 5000GB 出站流量。您从私有子网连接到互联网,并决定在每个可用区中也使用 2 个 NAT 网关。 

您的 AWS Network Firewall 总使用量为

  • 1440 小时使用时间(一个月 720 小时 * 2 个网络防火墙端点)
  • 已处理 5000GB 的出站流量

每月总费用为 893.80 美元。

由于每个防火墙都部署在独立可用区以实现高可用性,因此您无需支付跨可用区的费用。 

  • 端点每小时总费用为 568.80 美元 =(0.395 美元 * 2 个可用区 * 每月 720 小时)
  • 总数据处理费用将为 325 美元 =(0.065 美元/GB * 已处理的 5000GB)。 
  • 对于 NAT 网关,您将在同一个月获得 1440 小时的 NAT 网关和 5000GB 的 NAT 网关处理量,无需额外费用。

示例 3 - 具有高级检查功能的 Network Firewall 的定价

在本示例中,您在欧洲地区(爱尔兰)创建了一个网络防火墙,并在防火墙策略中启用了 TLS 检查,从而启用高级检查功能,每月处理 5000GB 流量。以下费用适用:

  • Network Firewall 端点每小时费用:在欧洲地区(爱尔兰)预调配防火墙端点每小时收取 0.395 美元。
  • Network Firewall 高级检查端点每小时费用:在欧洲地区(爱尔兰)预调配防火墙端点每小时收取 0.489 美元。
  • Network Firewall 数据处理费用:防火墙在欧洲地区(爱尔兰)处理 1GB 数据收取 0.065 美元。
  • Network Firewall 高级检查数据处理费用:在欧洲地区(爱尔兰),对于防火墙处理的高级检查数据,不收取额外费用。

每月总费用为 961.48 美元。

  • 端点费用总额为 636.48 美元 =(0.395 美元 * 1 个可用区 * 每月 720 小时)+(0.489 美元 * 1 个可用区 * 每月 720 小时)。 
  • 总数据处理费用将为 325 美元 =(0.065 美元/GB * 已处理的 5000GB)。 

示例 4 - 具有高级检查和 NAT 网关功能的 Network Firewall 定价

在此示例中,您在亚太地区(悉尼)创建了网络防火墙和 NAT 网关。防火墙每月处理总计 5000GB 流量。其中 2500GB 流量通过高级检查处理。NAT 网关每月处理总计 5000GB 流量。以下费用适用:

  • Network Firewall 端点每小时费用:在亚太地区(悉尼)预调配防火墙端点每小时收取 0.395 美元。
  • NAT 网关每小时费用:亚太地区(悉尼)每小时 0.059 美元。若您的 NAT 网关和 Network Firewall 端点位于同一区域,并且配置在相同的网络路径中,使用标准 Network Firewall 端点时无需支付 NAT 网关每小时费用。 
  • Network Firewall 数据处理费用:防火墙在亚太地区(悉尼)处理 1GB 数据收取 0.065 美元。
  • NAT 网关数据处理费用:NAT 网关在亚太地区(悉尼)处理 1GB 数据收取 0.059 美元。若您的 NAT 网关和 Network Firewall 端点位于同一区域,并且配置在相同的网络路径中,最多可豁免 5000GB 流量的 NAT 网关数据处理费(与标准 Network Firewall 流量处理使用量匹配)。 
  • Network Firewall 高级检查端点每小时费用:在亚太地区(悉尼)预调配防火墙端点每小时收取 0.711 美元。
  • Network Firewall 高级检查数据处理费用:在亚太地区(悉尼),对于防火墙处理的高级检查数据,1GB 收取 0.009 美元。

每月总费用为 1,143.82 美元。

  • Network Firewall 费用
    • 标准防火墙端点每小时费用 284.40 美元 =(0.395 美元 * 每月 720 小时)
    • 标准防火墙流量处理费用 325.00 美元 =(0.065 美元/GB * 处理的 5000GB 流量) 
    • 高级检查端点每小时费用 511.92 美元 =(0.711 美元 * 每月 720 小时) 
    • 高级检查流量处理费用 22.50 美元 =(0.009 美元 * 2500)
    • Network Firewall 总费用 =(284.40 美元 + 325.00 美元 + 511.92 美元 + 22.50 美元)= 1,143.82 美元/月
  • NAT 网关费用
    • NAT 网关每小时费用 42.48 美元 =(0.059 美元 * 每月 720 小时)
    • NAT 网关数据处理费用 295 美元 =(0.059 美元 * 处理的 5000GB 流量)
    • 套餐折扣总计 =(42.48 美元 + 295 美元)= 337.48 美元
    • NAT 网关总费用 = 0 美元

示例 5 - 具有次要端点的 Network Firewall 定价

在本示例中,您在美国东部(弗吉尼亚州北部)创建了一个网络防火墙,并在同一可用区(AZ)中为该主检查网络防火墙关联了 10 个次要 VPC 端点。此外,防火墙每月处理总计 5000GB 流量。以下费用适用:

  • Network Firewall 端点每小时费用:在美国东部(弗吉尼亚州北部)每可用区预调配主防火墙端点每小时收取 0.395 美元。
  • Network Firewall 次要端点每小时费用:在美国东部(弗吉尼亚州北部)每可用区预调配次要防火墙端点每小时收取 0.158 美元。
  • Network Firewall 数据处理费用:防火墙在美国东部(弗吉尼亚州北部)每可用区处理 1GB 数据收取 0.065 美元。与防火墙相关的辅助端点不会产生额外的数据处理费用。

每月总费用为 1,747 美元。

  • 端点总费用为 1,422 美元 =(0.395 美元 * 1 个主端点 * 1 个可用区 * 每月 720 小时)+(0.158 美元 * 10 个次要端点 * 1 个可用区 * 每月 720 小时)。
  • 总数据处理费用将为 325 美元 =(0.065 美元/GB * 已处理的 5000GB)。

示例 6 - 具有次要端点和 NAT 网关功能的 Network Firewall 定价

在本示例中,您在美国东部(弗吉尼亚州北部)的一个可用区中创建了一个网络防火墙(含 10 个次要 VPC 端点)和一个 NAT 网关。此外,防火墙每月处理总计 5000GB 流量。NAT 网关每月处理总计 6000GB 流量。以下费用适用:

  • Network Firewall 端点每小时费用:在美国东部(弗吉尼亚州北部)每可用区预调配主防火墙端点每小时收取 0.395 美元。
  • Network Firewall 次要端点每小时费用:在美国东部(弗吉尼亚州北部)每可用区预调配次要防火墙端点每小时收取 0.158 美元。
  • Network Firewall 数据处理费用:防火墙在美国东部(弗吉尼亚州北部)每可用区处理 1GB 数据收取 0.065 美元。与防火墙相关的辅助端点不会产生额外的数据处理费用。
  • NAT 网关每小时费用:美国东部(弗吉尼亚州北部)每小时 0.045 美元。根据标准的 Network Firewall 端点每小时使用量,在同一区域预调配主防火墙端点,每小时均不收取费用。
  • NAT 网关数据处理费用:NAT 网关在美国东部(弗吉尼亚州北部)处理 1GB 数据收取 0.045 美元。根据标准的 Network Firewall 流量处理,对于您的主防火墙在同一区域处理的每千兆字节流量,不收取每 GB 的 NAT 网关处理费用(最多 5000GB)。

每月总费用为 1,792 美元。

  • 防火墙端点总费用为 1,422 美元 =(0.395 美元 * 1 个主端点 * 1 个可用区 * 每月 720 小时)+(0.158 美元 * 10 个次要端点 * 1 个可用区 * 每月 720 小时)。
  • 防火墙总数据处理费用将为 325 美元 =(0.065 美元/GB * 已处理的 5000GB)。
  • NAT 网关每小时总费用为 0 美元。节省 32.40 美元 =(0.045 美元 * 每月 720 小时)。
  • NAT 网关总数据处理费用将为 45 美元 =(0.045 美元/GB * 已处理的 1000GB)。节省 225 美元 =(0.045 美元 * 已处理的 5000GB)。

示例 7 - 具有高级威胁防护功能的 Network Firewall 的定价

在本示例中,您在美国西部(俄勒冈州)创建了一个网络防火墙,并在防火墙策略中使用主动威胁防御托管规则组,启用主动威胁防护功能,每月处理 5,000 GB 流量。以下费用适用:

  • Network Firewall 端点每小时费用:在美国西部(俄勒冈州)预调配防火墙端点每小时收取 0.395 美元。
  • Network Firewall 数据处理费用:防火墙在美国西部(俄勒冈州)处理 1GB 数据收取 0.065 美元。
  • Network Firewall 高级威胁防护处理费用:防火墙在美国西部(俄勒冈州)处理 1GB 数据收取 0.005 美元。

每月总费用为 634.40 美元。

  • 端点费用总额为 284.40 美元 =(0.395 美元 * 1 个可用区 * 每月 720 小时)
  • 总数据处理费用将为 325 美元 =(0.065 美元/GB * 已处理的 5000GB)
  • 总数据处理费用将为 25 美元 =(0.005 美元/GB * 已处理的 5000GB)

示例 8 - 具有高级检查和高级威胁防护功能的 Network Firewall 的定价

在本示例中,您在欧洲地区(爱尔兰)创建了一个网络防火墙,在防火墙策略中使用主动威胁防御托管规则组,启用主动威胁防护功能,在防火墙策略中启用了 TLS 检查,从而启用高级检查功能,每月处理 5,000 GB 流量。以下费用适用:

  • Network Firewall 端点每小时费用:在欧洲地区(爱尔兰)预调配防火墙端点每小时收取 0.395 美元。
  • Network Firewall 高级检查端点每小时费用:在欧洲地区(爱尔兰)预调配防火墙端点每小时收取 0.489 美元。
  • Network Firewall 数据处理费用:防火墙在欧洲地区(爱尔兰)处理 1GB 数据收取 0.065 美元。
  •  Network Firewall 高级检查数据处理费用:在欧洲地区(爱尔兰),对于防火墙处理的高级检查数据,不收取额外费用。
  • Network Firewall 高级威胁防护数据处理费用:防火墙在欧洲地区(爱尔兰)处理 1GB 数据收取 0.005 美元。

每月总费用为 986.48 美元。

  • 端点费用总额为 636.48 美元 =(0.395 美元 * 1 个可用区 * 每月 720 小时)+(0.489 美元 * 1 个可用区 * 每月 720 小时)。 
  • 数据处理总费用将为 350 美元 =(0.065 美元/GB * 已处理的 5000GB)+(0.005 美元 * 已处理的 5000GB)。