AWS Network Firewall 常見問答集

AWS Network Firewall 是一項託管服務，可讓您輕鬆為所有 Amazon 虛擬私有雲端 (VPC) 部署必要的網路防護。這項服務僅需按幾下滑鼠按鍵即可進行設定，並且會隨著您的網路流量自動擴展，讓您不必擔心部署與管理任何基礎架構的相關事宜。Network Firewall 的彈性規則引擎能讓您定義防火牆規則，提供您網路流量的精密控制能力，例如封鎖傳出的伺服器訊息區 (SMB) 請求來避免散播惡意活動。您還可以匯入按常見開放原始碼規則格式編寫的規則，或者匯入來自 AWS 合作夥伴的相容規則。AWS Network Firewall 能夠搭配 AWS Firewall Manager 一起使用，您可以依據 AWS Network Firewall 規則來建置政策，然後在 VPC 和帳戶之間集中套用這些政策。

AWS Network Firewall 基礎設施由 AWS 管理，因此您不必擔心建置和維護自己的網路安全基礎設施。AWS Network Firewall 與 AWS Firewall Manager 配合使用，因此您可以集中管理安全性政策，並對現有和新建立的帳戶與 VPC 自動實施強制性安全性政策。AWS Network Firewall 具有高度靈活的規則引擎，因此您可以建置自訂防火牆規則來保護自己的獨特工作負載。AWS Network Firewall 支援數千條規則，這些規則可以基於網域、連接埠、通訊協定、IP 位址和模式匹配。

AWS Network Firewall 包括防止常見網路威脅的功能。AWS Network Firewall 的具狀態防火牆可整合來自流量的內容 (例如追蹤連線與通訊協定辨識) 來強制執行政策 (例如避免 VPC 存取使用了未經授權之通訊協定的網域)。AWS Network Firewall 的入侵預防系統 (IPS) 提供主動式流量檢查，讓您可以使用特徵標記型偵測功能來找出並封鎖漏洞入侵程式。AWS Network Firewall 也提供了 Web 篩選功能，可阻止通往惡意 URL 的流量並監控完整網域名稱。

AWS Network Firewall 提供 VPC 對 VPC 流量的控制和可見度，以邏輯方式區隔託管敏感應用程式的網路或託管企業營運資源的網路。AWS Network Firewall 提供 URL、IP 位址和網域型傳出流量篩選，協助滿足合規要求、阻止潛在資料外洩，並封鎖與已知惡意主機的通訊。AWS Network Firewall 可確保從用戶端裝置和內部部署環境經過 AWS Transit Gateway 的 AWS Direct Connect 與 AWS VPN 流量安全。AWS Network Firewall 可使用如存取控制清單 (ACL) 規則、具狀態檢查、通訊協定偵測和入侵預防等功能，來篩選傳入網際網路流量，藉此保護應用程式可用性。

AWS Network Firewall 旨在保護和控制進出您的 VPC 的存取權限，但並非用於緩解可能影響應用程式可用性的分散式阻斷服務 (DDoS) 等大規模攻擊。為了防禦 DDoS 攻擊並確保應用程式可用性，我們建議客戶查看並遵守我們的 AWS 的 DDoS 恢復能力最佳實務，並且探索 AWS Shield Advanced，該服務提供針對特定應用程式流量自訂的受管 DDoS 保護。

AWS Network Firewall 透過為整個 VPC 的第 3-7 層網路流量提供控制和可見性，有效補充 AWS 上現有的網路和應用程式安全服務。根據您的使用案例，您可以選擇在現有的安全控制 (如 Amazon VPC 安全群組、AWS Web 應用程式防火牆規則或 AWS Marketplace 設備) 中實作 AWS Network Firewall。

AWS Network Firewall 定價是根據已部署的防火牆數量以及檢測到的流量數量而定。如需詳細資訊，請參閱 AWS Network Firewall 定價。

有關 AWS Network Firewall 區域可用性的更多資訊，請參閱 AWS 區域資料表。

一些 AWS 合作夥伴網路 (APN) 合作夥伴提供產品，可與現有的 AWS 服務相得益彰，讓您能夠在 AWS 和內部部署環境之間部署無縫又全方位的安全架構。如需提供與 AWS Network Firewall 相得益彰的產品的 APN 合作夥伴清單，請參閱 AWS Network Firewall 合作夥伴。

AWS Network Firewall 提供服務水準協議，承諾正常運行時間為 99.99%。AWS Network Firewall 可讓您依據流量負載自動擴展或縮減防火牆容量，以保持穩定、可預測的效能，從而最大限度地降低成本。

AWS Network Firewall 受如下方面服務配額的約束：您可以建立的防火牆、防火牆政策和規則群組數量以及其他設定，例如單個防火牆政策中可以包含的無狀態或具狀態規則群組的數量。有關服務配額的更多詳細資訊，包括有關如何申請增加服務配額的資訊，請參閱 AWS Network Firewall 配額頁面。

AWS Network Firewall 支援兩種主要部署類型：集中式和分散式。採用分散式部署時，AWS Network Firewall 可以部署在您的每個 Amazon VPC 中，以便在距離應用程式更近的位置實施。AWS Network Firewall 還支援以 VPC 附件的形式集中部署到您的 AWS Transit Gateway。 使用 Transit Gateway 模式下的 Network Firewall (其保持對稱路由到同一個區域防火牆)，您可以篩選進出網際網路閘道、Direct Connect 閘道、PrivateLink、VPN Site-to-Site 和用戶端閘道、NAT 閘道甚至是其他已連接 VPC 和子網路之間的各種入站和出站流量。

AWS Network Firewall 作為端點服務進行部署，類似於 AWS PrivateLink 等其他網路服務。您的 AWS Network Firewall 端點必須部署在自有 Amazon VPC 內的專用子網路中，最小大小為 /28。AWS Network Firewall 會檢查路由到端點的所有流量，這是路徑插入和篩選的機制。透過 AWS Firewall Manager 主控台，或透過與 AWS Firewall Manager 整合的合作夥伴解決方案，您可以使用各種規則類型集中建置組態和政策，例如無狀態存取控制清單 (ACL)、具狀態檢查和入侵防禦系統 (IPS)。由於 AWS Network Firewall 是一項 AWS 受管服務，因此 AWS 負責處理擴展、可用性、彈性和軟體更新。

是。AWS Network Firewall 是一項區域服務，可在組織和帳戶層級保護網路流量。為了在多個帳戶間維護政策和管控，您可能要使用 AWS Firewall Manager。

AWS Network Firewall 政策會定義防火牆的監控和保護行為。該行為的詳細資訊會在您新增至政策的規則群組中定義，或是在特定預設政策設定中定義。若要使用防火牆政策，請將政策與一或多個防火牆產生關聯。

規則群組是一組可重複使用的防火牆規則，用於檢查和篩選網路流量。您可以使用無狀態或具狀態的規則群組來設定防火牆政策的流量檢查條件。您可以建立自己的規則群組，也可以使用由 AWS Marketplace 賣家管理的規則群組。如需詳細資訊，請參閱 AWS Network Firewall 開發人員指南。

AWS Network Firewall 同時支援無狀態和具狀態的規則。無狀態規則由網路存取控制清單 (ACL) 組成，它們可以根據來源和目的地 IP 位址、連接埠或通訊協定。具狀態規則是由來源和目的地 IP 位址、連接埠和通訊協定定義，但是與無狀態規則的不同之處，是它們在整個連線或工作階段的生命週期維護和保護連線或工作階段。

AWS Network Firewall 亦提供受管規則，提供預先設定的保護。這些規則由 AWS 或 AWS 合作夥伴管理。您可透過 AWS Marketplace 訂閱 AWS 合作夥伴受管規則。

AWS 受管規則提供主動式威脅防禦 (利用 AWS 全球威脅智慧自動防禦主動式威脅)，以及網域、IP 和威脅簽章受管規則群組。

合作夥伴受管規則提供精選規則，可輕鬆整合至 AWS Network Firewall 政策中。這些規則有助於針對多種使用案例保護雲端工作負載。

您可於防火牆政策中結合各類規則，建立針對您安全需求量身打造的全方位保護。

您可以將 AWS Network Firewall 活動記錄至 Amazon S3 儲存貯體中，以作進一步分析和調查。此外，您還可以使用 Amazon Kinesis Firehose 將日誌傳送至第三方供應商。

是。您可以使用原生整合功能，也可以在 VPC 中部署 AWS Network Firewall，然後手動將該 VPC 附加到 TGW。如需有關此組態的詳細資訊，請參閱 AWS Network Firewall 的部署模型部落格文章。

AWS Network Firewall 已使用 AWS Gateway 負載平衡器，為防火牆端點提供彈性的可擴展性，且不需要單獨整合。您可以透過檢查防火牆端點彈性網路介面 (ENI) 觀察到這一點，該介面使用「gateway_load_balancer_endpoint」類型。

AWS Network Firewall 定價是根據已部署的防火牆數量以及檢測到的流量數量而定。若您將防火牆與多個 VPC 建立關聯，針對檢測 VPC 中的主要防火牆端點，您需支付每個區域及可用區域的標準每小時費率。針對與該防火牆關聯的每個額外次要端點，您需支付每個區域及可用區域較低的每小時費率。您也需支付防火牆處理的流量費用，按每個區域及可用區域的每 GB 計費。請造訪 AWS Network Firewall 定價，取得更多關於多個端點的成本資訊。

AWS Network Firewall 支援下列輸出流量控制類型：HTTPS (SNI)/HTTP 通訊協定 URL 篩選、存取控制清單 (ACL)、DNS 查詢和通訊協定偵測。

AWS Network Firewall 會自動向上擴展，每個可用區域最高可達 100 Gbps 頻寬。此 100 Gbps 頻寬由所有關聯的 VPC 端點共用，因此客戶在規劃部署時應考量預期的總流量。若單一端點發生超額訂閱，效能可能會受到影響。我們建議客戶使用自己的規則進行測試，以確保服務符合其效能預期。

防火牆擁有者帳戶需支付檢測防火牆，以及每個可用區域中與該防火牆關聯之任何次要端點的費用。僅防火牆擁有者需為所有關聯的主要與次要端點付費，包含跨帳戶的端點關聯。

AWS Network Firewall 確實支援對加密流量進行深度封包檢查。

AWS Network Firewall 日誌可以原生儲存在 Amazon S3、Amazon Kinesis Data Firehose 和 Amazon CloudWatch 中。每個 VPC 端點都可以使用下列測量結果：接收的封包、遺失的封包、無效的遺失封包、其他丟棄的封包和傳遞的封包。

您可以透過 Amazon VPC 主控台或 Network Firewall API 設定 AWS Network Firewall TLS 檢查。設定程序分為 3 步。按照 AWS Network Firewall 服務文件中的步驟，1) 佈建憑證和金鑰，2) 建立 TLS 檢查組態，3) 將組態套用於防火牆政策。

該服務支援 TLS 1.1、1.2 和 1.3 版，除了加密的用戶端 hello (ECH) 和加密 SNI (ESNI)。

AWS Network Firewall 支援 AWS Certificate Manager (ACM) 支援的所有加密套件。如需詳細資訊，請參閱服務文件中的 TLS 檢查考量。

AWS Network Firewall 定價是根據已部署的防火牆數量以及檢測到的流量數量而定。請造訪 AWS Network Firewall 定價，了解有關入口 TLS 檢查費用的更多資訊。

我們期望透過此新功能發行，維持目前的 AWS Network Firewall 頻寬效能。我們建議客戶使用自己的規則集親自進行測試，以確保該服務符合他們的效能預期。

您可透過 AWS 管理主控台、AWS CLI 或 AWS SDK 在 AWS Network Firewall 上啟用主動式威脅防禦受管規則群組。針對 AWS Network Firewall，您可在建立或更新防火牆政策時，於 AWS 受管規則群組下拉式選單中選取主動式威脅防禦規則群組。新增後，您將自動在防火牆政策中看到主動式威脅防禦受管規則群組。您可進一步將規則群組設定為支援的強制執行模式，例如警示或拒絕。

AWS Network Firewall 上的主動式威脅防禦受管規則群組在幾個方面與現有的網域、IP 和威脅簽章受管規則群組不同。主要在於，主動式威脅防禦規則是以 Amazon 威脅智慧為基礎。此功能著重於快速防護由 Amazon 威脅智慧識別出的主動式威脅。識別出主動式威脅時，AWS Network Firewall 會自動套用受管規則以封鎖該威脅。主動式威脅防禦旨在補強其他受管規則群組，提供額外的一層保護。

AWS Network Firewall 與 Amazon CloudWatch 無縫整合，提供全方位的日誌和監控功能，協助您追蹤規則比對和效能指標。透過 Network Firewall 主控台的「主動式威脅防禦受管規則群組」區段，您可獲得對安全態勢的增強可視性，包括指標群組、指標類型以及正被緩解的特定威脅名稱等詳細資訊。 

是的，當您在防火牆政策中啟用主動式威脅防禦規則群組時，您需為防火牆端點處理的流量支付額外費用。此流量按每個區域和可用區域的每 GB 計費。      

主動式威脅防禦受管規則群組會佔用 15,000 的固定規則容量，而區域內每個防火牆政策的預設總上限仍維持在 30,000 個狀態規則。您可以申請提高帳戶層級的狀態規則配額，無需額外付費。若要進一步了解 AWS Network Firewall 的配額，並請求增加有狀態規則限制，請參閱服務文件。