重温 2024 年亚马逊云科技 re:Invent 的精彩瞬间,一键查看主题演讲及创新讲座的精彩回放

 ✕

Amazon Network Firewall 常见问题

一般性问题

什么是 Amazon Network Firewall?
Amazon Network Firewall 是一项托管服务,可让您轻松为所有 Amazon Virtual Private Cloud(VPC)部署必要的网络保护。该服务只需点击几下即可设置完毕,并可根据您的网络流量自动扩展,因此您不必担心部署和管理任何基础架构的问题。Network Firewall 的灵活规则引擎让您可以定义防火墙规则,从而对网络流量进行精细控制,例如阻止出站服务器消息块(SMB)请求以防止恶意活动的传播。您还可以导入已经使用常见开源规则格式编写的规则。Amazon Network Firewall 与 Amazon Firewall Manager 配合使用,因此您可以基于 Amazon Network Firewall 规则构建策略,然后在 VPC 和账户中集中应用这些策略。
Amazon Network Firewall 的主要优势有哪些?
Amazon Network Firewall 基础设施由我们管理,因此您无需为构建和维护自己的网络安全基础设施而挂心。Amazon Network Firewall 与 Amazon Firewall Manager 配合使用,因此您可以集中管理安全策略,并在现有和新创建的账户和 VPC 上自动执行强制性安全策略。Amazon Network Firewall 具有高度灵活的规则引擎,因此您可以构建自定义防火墙规则来保护您的独特工作负载。Amazon Network Firewall 支持数千条规则,这些规则可以基于域、端口、协议、IP 地址和模式匹配。
Amazon Network Firewall 如何保护我的 VPC?
Amazon Network Firewall 包括防范常见网络威胁的功能。Amazon Network Firewall 的有状态防火墙可以整合流量中的上下文,例如跟踪连接和协议识别,以执行诸如防止您的 VPC 使用未经授权的协议访问域名等策略。Amazon Network Firewall 的入侵防御系统(IPS)提供主动流量检查,因此您可以使用基于签名的检测来识别和阻止漏洞利用。Amazon Network Firewall 还提供 Web 筛选功能,可以阻止访问已知错误 URL 的流量,并监控完全限定域名。
我应该在何时使用 Amazon Network Firewall?
Amazon Network Firewall 为您提供 VPC 到 VPC 流量的控制和可见性,以在逻辑上分离托管敏感应用程序或业务线资源的网络。Amazon Network Firewall 提供 URL、IP 地址和基于域的出站流量过滤,帮助您满足合规性要求、阻止潜在的数据泄露并阻止与已知恶意软件主机的通信。Amazon Network Firewall 保护来自客户端设备和您的本地环境的 Amazon Direct Connect 流量通过 Amazon Transit Gateway。Amazon Network Firewall 使用访问控制列表(ACL)规则、状态检查、协议检测和入侵防御等功能过滤入站互联网流量,从而保护应用程序的可用性。
Amazon Network Firewall 与亚马逊云科技云和亚马逊云科技 Marketplace 上的其他防火墙产品有何不同?
Amazon Network Firewall 通过提供对整个 VPC 的第 3-7 层网络流量的控制和可见性,来补充亚马逊云科技云上现有的网络和应用程序安全服务。根据您的使用案例,您可以选择与现有安全控制措施一起实施 Amazon Network Firewall,例如 Amazon VPC 安全组、Amazon Web Application Firewall 规则或亚马逊云科技 Marketplace 设备。
Amazon Network Firewall 如何收费?
Amazon Network Firewall 的定价基于部署的防火墙数量和检查的流量。请访问 Amazon Network Firewall 定价了解更多信息。
Amazon Network Firewall 是否提供服务等级协议?
Amazon Network Firewall 提供正常运行时间承诺为 99.99% 的 服务等级协议。Amazon Network Firewall 使您能够根据流量负载自动扩大或缩小防火墙容量,以保持稳定、可预测的性能,从而最大限度地降低成本。
Amazon Network Firewall 的服务限额是多少?
Amazon Network Firewall 受您可以创建的防火墙、防火墙策略和规则组的数量以及其他设置(例如您在单个防火墙策略中可以拥有的无状态或有状态规则组的数量)的服务限额限制。有关服务限额的更多详细信息,包括有关如何申请增加服务限额的信息,请参阅 Amazon Network Firewall 限额页面

Amazon Network Firewall 入门

Amazon Network Firewall 的常见部署模式是什么?

Amazon Network Firewall 支持两种主要部署类型:集中式和分布式。采用分布式部署方式后,Amazon Network Firewall 可以部署在您的每个 Amazon VPC 中,以便在离应用程序更近的地方强制执行。Amazon Network Firewall 还支持作为 VPC 附件集中部署到您的 Amazon Transit Gateway。使用处于 Transit Gateway 模式的 Network Firewall,可以保持对称路由到同一个区域防火墙,从而可以过滤进出互联网网关、Direct Connect 网关、PrivateLink、NAT 网关甚至其他连接的 VPC 和子网之间的各种入站和出站流量。

如何启用 Amazon Network Firewal?

Amazon Network Firewall 作为端点服务进行部署,类似于其他网络服务,例如 Amazon PrivateLink。您的 Amazon Network Firewall 端点必须部署在 Amazon VPC 内的专用子网中,最小大小为 /28。Amazon Network Firewall 会检查路由到端点的所有流量,这是路径插入和过滤的机制。通过 Amazon Firewall Manager 控制台,或通过与 Amazon Firewall Manager 集成的合作伙伴解决方案,您可以使用各种规则类型集中构建配置和策略,例如无状态访问控制列表(ACL)、状态检查和入侵防御系统(IPS)。由于 Amazon Network Firewall 是一项托管服务,因此由我们负责扩展、可用性、灵活性和软件更新。

Amazon Network Firewall 能否保护多个亚马逊云科技账户的安全性?

可以。Amazon Network Firewall 是一项区域性服务,可在组织和账户层面保护网络流量。为了维护多个账户的策略和监管,您可能需要使用 Amazon Firewall Manager

什么是防火墙策略?

Amazon Network Firewall 策略定义了防火墙的监控和保护行为。该行为的详细信息在您添加到策略的规则组或某些默认策略设置中定义。要使用防火墙策略,您需要将该策略与一个或多个防火墙相关联。

什么是规则组?

规则组是一组可重复使用的防火墙规则,用于检查和过滤网络流量。您可以使用无状态或有状态规则组来配置防火墙策略的流量检查标准。您可以创建自己的规则组,也可以使用由亚马逊云科技 Marketplace 卖家管理的规则组。有关更多信息,请参阅 Amazon Network Firewall 开发者指南

支持哪些类型的防火墙规则?

Amazon Network Firewall 支持无状态和有状态规则。无状态规则由网络访问控制列表(ACL)组成,该列表可以基于源和目标 IP 地址、端口或协议。有状态规则或第 4 层规则也由源和目标 IP 地址、端口和协议定义,但与无状态规则的不同之处在于,它们在连接或会话的整个生命周期中维护和保护连接或会话。

使用 Amazon Network Firewall

我可以使用哪些亚马逊云科技工具来记录和监控我的 Amazon Network Firewall 活动?

您可以将您的 Amazon Network Firewall 活动记录到 Amazon S3 桶中以进行进一步分析和调查。您还可以使用 Amazon Kinesis Firehose 将日志移植到第三方产品。

我可以在我的 Transit Gateway(TGW)上使用 Amazon Network Firewall 吗?

可以。您可以在您的 VPC 中部署 Amazon Network Firewall,然后将该 VPC 连接到 TGW。有关此配置的更多信息,请参阅博文 Deployment models for Amazon Network Firewall

我可以在亚马逊网关负载均衡器(GWLB)中使用 Amazon Network Firewall 吗?

Amazon Network Firewall 已经使用亚马逊网关负载均衡器为防火墙端点提供弹性可扩展性,不需要单独集成。您可以通过检查防火墙端点弹性网络接口(ENI)来观察这一点,该接口使用“gateway_load_balancer_endpoint”类型。

Amazon Network Firewall 支持哪些类型的出站流量控制?

Amazon Network Firewall 支持以下类型的出站流量控制:HTTPS(SNI)/HTTP 协议 URL 过滤、访问控制列表(ACL)、DNS 查询和协议检测。

Amazon Network Firewall 能否检查加密流量?

Amazon Network Firewall 确实支持对加密流量进行深度数据包检查。

使用 Amazon Network Firewall 检查加密流量

如何在 Amazon Network Firewall 上配置 TLS 检查?

您可以通过 Amazon VPC 控制台或 Network Firewall API 配置 Amazon Network Firewall TLS 检查。设置分为 3 个步骤。按照 Amazon Network Firewall 服务文档中的步骤操作,1)预置证书和密钥,2)创建 TLS 检查配置,以及 3)将配置应用于防火墙策略。

Amazon Network Firewall 支持哪些 TLS 版本?

该服务支持 TLS 版本 1.2 和 1.3,Encrypted Client Hello(ECH)和加密 SNI(ESNI)除外。

Amazon Network Firewall 支持哪些密码套件?

Amazon Network Firewall 支持 Amazon Certificate Manager(ACM)支持的所有密码套件。有关详细信息,请参阅服务文档中的 TLS 检查注意事项。

使用 TLS 检查是否有额外费用?

Amazon Network Firewall 的定价基于部署的防火墙数量和检查的流量。请访问 Amazon Network Firewall 定价,了解有关入口 TLS 检查费用的更多信息。

TLS 检查是否有任何已知的性能影响?

我们希望通过此新功能版本保持当前的 Amazon Network Firewall 带宽性能。我们建议客户使用自己的规则集进行自己的测试,以确保服务符合他们的性能预期。

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域