本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
集中式網路防火牆
在防火牆 VPC AWS Network Firewall 中部署。此 VPC 透過託管防火牆來檢查從來源到目的地的流量,以及來自網際網路的流量,扮演關鍵角色。
防火牆規則群組
定義自訂規則或使用現有的 AWS 受管規則 來監控和管理從防火牆 VPC 流向網際網路,以及從網際網路流向 VPC 的流量。根據您的需求,建立具狀態或無狀態規則:
-
狀態規則 – 檢查封包時,會考慮流量流程方向和與封包相關的其他流量核准。
此規則群組遵循 Suricata 相容入侵預防系統 (IPS) 要求。如需詳細資訊,請參閱 Network Firewall 文件。
Network Firewall 也支援網域流量篩選。將使用根據標準網路屬性定義的規則來監控所列特定網域的流量,以控制流量流程。
-
無狀態規則 – Network Firewall 的無狀態規則引擎會分別分析無狀態規則群組的每個封包。網路的防火牆不會考慮內容,例如流量方向或其他相關封包。
-
AWS 受管規則 規則群組 – 當您使用 Network Firewall 時,您可以存取 AWS 受管規則 規則群組。這些預設的可用規則集合會維護up-to-date security. AWS update 規則群組,以發現的任何新漏洞或威脅為基礎。
防火牆政策
建立防火牆政策,此政策會根據您連接至防火牆政策的規則定義防火牆的監控和保護行為。這些規則可以是您建立的受管規則 AWS ,或是自訂具狀態或無狀態規則。
防火牆
在防火牆 VPC 中,使用您定義的防火牆政策來建立防火牆。選取防火牆專用的三個子網路 (而非傳輸閘道子網路)。建立防火牆後,記下 Network Firewall 建立的 VPC 端點。
設定 的防火牆 VPC 傳輸閘道子網路目的地0.0.0.0/0,將流量路由到這些端點。設定端點時,請確定每個傳輸閘道子網路與其對應的防火牆端點子網路相符。適當的子網路映射有助於確保流量路由和檢查的高可用性。
防火牆記錄
為了協助分析網路防火牆封鎖的流量,請啟用防火牆記錄。除了識別未經授權的活動之外,防火牆記錄還可協助您分析 VPC 內外發生的其他活動。
