概览
Network Firewall 功能
高可用性和自动扩缩 Amazon Network Firewall 提供内置冗余功能,以确保对所有流量进行持续检查和监控。Amazon Network Firewall 提供正常运行时间承诺为 99.99% 的服务等级协议。Amazon Network Firewall 使您能够根据流量负载自动扩大或缩小防火墙容量,以保持稳定、可预测的性能,从而最大限度地降低成本。
状态防火墙会考虑流量的上下文,以实施更精细的策略,例如根据源地址或协议类型丢弃数据包。此状态防火墙的匹配标准与 Amazon Network Firewall 的无状态检查功能相同,只是增加了流量方向的匹配设置。Amazon Network Firewall 灵活的规则引擎使您能够根据源/目标 IP、源/目标端口和协议编写数千条防火墙规则。Amazon Network Firewall 将在没有任何端口规范的情况下筛选常见协议,而不仅仅是 TCP/UDP 流量筛选。
Amazon Network Firewall 支持对未加密的 Web 流量进行入站和出站网络筛选。对于加密的 Web 流量,服务器名称指示(SNI)用于阻止对特定站点的访问。SNI 是传输层安全性协议(TLS)的扩展,在流量中保持未加密状态,并表示客户端尝试通过 HTTPS 访问的目标主机名。此外,Amazon Network Firewall 可以筛选完全限定域名(FQDN)。
Amazon Network Firewall 的入侵防御系统(IPS)提供主动流量检查,提供实时网络和应用层保护,防止漏洞利用和暴力攻击。其基于签名的检测引擎根据字节序列或数据包异常等属性,将网络流量模式与已知威胁签名进行匹配。
警报日志是特定于规则的,并提供有关已触发的规则和触发该规则的特定会话的额外数据。流量日志提供有关通过防火墙的所有流量的状态信息,一个方向一行。Amazon Network Firewall 流日志可以本地存储在 Amazon S3、Amazon Kinesis 和 Amazon CloudWatch 中。
Amazon Firewall Manager 是一项安全管理服务,使您能够在 Amazon Organizations 中跨应用程序、VPC 和账户集中部署和管理安全策略。Amazon Firewall Manager 可以将 Amazon Network Firewall 规则组整理成可在基础设施中部署的策略,以帮助您以一致的分层方式扩大执行规模。Amazon Firewall Manager 提供跨账户的政策合规性汇总视图,并自动执行补救流程。随着新账户、资源和网络组件的创建,Firewall Manager 可以通过强制执行一组通用的防火墙策略来轻松使其合规。
Amazon Network Firewall 使客户能够运行与 Suricata 兼容的规则,这些规则来自内部(内部自定义规则开发)或外部(第三方供应商或开源平台)。
Amazon Network Firewall 支持传输层安全性协议(TLS)检查,允许客户通过提高加密流量的可见性来加强他们在亚马逊云科技云上的安全态势。您可以使用 Amazon Network Firewall 解密 TLS 会话并检查入站和出站 Amazon Virtual Private Cloud(VPC)流量,而无需部署或管理任何额外的网络安全基础设施。加密和解密本身发生在同一个防火墙实例上,因此流量不会跨越任何网络边界。