Zentralisierte Netzwerk-Firewall - AWS Präskriptive Leitlinien
Firewall-RegelgruppeFirewall-RichtlinieFirewallFirewall-Protokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zentralisierte Netzwerk-Firewall

AWS Network Firewall In der Firewall-VPC bereitstellen. Diese VPC spielt eine entscheidende Rolle, da sie die Firewall hostet, die den Verkehr von der Quelle zum Ziel sowie den Datenverkehr aus dem Internet überprüft.

Firewall-Regelgruppe

Definieren Sie benutzerdefinierte Regeln oder verwenden Sie bestehende Regeln Von AWS verwaltete Regeln für die Überwachung und Verwaltung des Datenverkehrs, der von der Firewall-VPC zum Internet und vom Internet zur VPC fließt. Erstellen Sie je nach Ihren Anforderungen entweder statusbehaftete oder statusfreie Regeln:

  • Stateful-Regeln — Die Richtung des Datenverkehrs und andere Verkehrsgenehmigungen im Zusammenhang mit dem Paket werden bei der Überprüfung von Paketen berücksichtigt.

    Diese Regelgruppe entspricht den Anforderungen des Suricata-kompatiblen Intrusion Prevention Systems (IPS). Weitere Informationen finden Sie in der Dokumentation zur Network Firewall.

    Die Network Firewall unterstützt auch die Filterung von Domain-Traffic. Der Datenverkehr zu den aufgeführten Domänen wird anhand von Regeln überwacht, die auf der Grundlage von Standard-Netzwerkattributen zur Steuerung des Datenverkehrs definiert wurden.

  • Stateless Rules — Die Stateless Rules Engine der Network Firewall analysiert jedes Paket separat auf statusfreie Regelgruppen. Firewalls für Netzwerke berücksichtigen nicht den Kontext wie die Verkehrsrichtung oder andere relevante Pakete.

  • Von AWS verwaltete Regeln Regelgruppen — Wenn Sie die Network Firewall verwenden, erhalten Sie Zugriff auf Von AWS verwaltete Regeln Regelgruppen. Diese Sammlungen vordefinierter, verwendbarer Regeln gewährleisten die up-to-date Sicherheit. AWS aktualisiert die Regelgruppen auf der Grundlage neuer Sicherheitslücken oder Bedrohungen, die entdeckt werden.

Firewall-Richtlinie

Erstellen Sie die Firewall-Richtlinie, die das Überwachungs- und Schutzverhalten der Firewall auf der Grundlage der Regeln definiert, die Sie der Firewall-Richtlinie zuordnen. Bei diesen Regeln kann es sich um verwaltete Regeln handeln, die von Ihnen bereitgestellt werden, AWS oder um benutzerdefinierte statusbehaftete oder statusfreie Regeln, die Sie erstellt haben.

Firewall

Erstellen Sie in der Firewall-VPC die Firewall mithilfe der von Ihnen definierten Firewall-Richtlinie. Wählen Sie die drei Subnetze aus, die der Firewall zugewiesen sind (nicht die Transit-Gateway-Subnetze). Notieren Sie sich nach der Erstellung der Firewall die VPC-Endpunkte, die von der Network Firewall erstellt wurden.

Konfigurieren Sie das Firewall-VPC-Transit-Gateway-Subnetzziel von0.0.0.0/0, um den Verkehr zu diesen Endpunkten weiterzuleiten. Stellen Sie bei der Konfiguration von Endpunkten sicher, dass jedes Transit-Gateway-Subnetz dem entsprechenden Firewall-Endpunkt-Subnetz zugeordnet ist. Eine geeignete Subnetzzuweisung trägt dazu bei, eine hohe Verfügbarkeit der Verkehrsweiterleitung und -inspektion sicherzustellen.

Firewall-Protokollierung

Um den von der Netzwerk-Firewall blockierten Datenverkehr besser analysieren zu können, aktivieren Sie die Firewall-Protokollierung. Neben der Identifizierung nicht autorisierter Aktivitäten kann Ihnen die Firewall-Protokollierung auch dabei helfen, andere Aktivitäten innerhalb und außerhalb der VPC zu analysieren.