AWS Network Firewall 政策: - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Network Firewall 政策:

您可以使用AWS Firewall ManagerNetwork Firewall政策管理AWS Network Firewall 防火牆Amazon Virtual Private CloudVPC橫越機構中的AWS Organizations。您可以將集中控制的防火牆套用至整間組織,或選取您的帳戶和 VPC 子集。

Network Firewall 為 VPC 中的公用子網路提供網路流量過濾保護。當您套用 Firewall Manager 原則時,Firewall Manager 會針對原則範圍內的每個帳戶和 VPC,建立 Network Firewall 防火牆,並將防火牆端點部署到 VPC 子網路,以篩選網路流量。

注意

Firewall Manager Network Firewall 原則是 Firewall Manager 原則,可用來管理整個組織中 VPC 的 Network Firewall 保護。

Network Firewall 保護是在稱為防火牆原則的 Network Firewall 服務的資源中指定的。

如需使用 Network Firewall 的詳細資訊,請參閱AWS Network Firewall開發人員指南

下列各節涵蓋使用 Firewall Manager Network Firewall 原則的需求,並說明原則的運作方式。如需建立政策的程序,請參閱建立適用於 AWS Network Firewall 的 AWS Firewall Manager 政策

您必須啟用資源共用

Network Firewall 原則會在組織中的帳戶之間共用 Network Firewall 規則群組。若要使用此功能,您必須啟用AWS Organizations。如需如何啟用資源共用的詳細資訊,請參閱Network Firewall 和 DNS 防火牆原則的資源共用

您必須定義 Network Firewall 規則群組

當您指定新的 Network Firewall 原則時,您定義防火牆原則的方式與使用AWS Network Firewall。您可以指定要新增的無狀態規則群組、預設無狀態動作和可設定狀態規則群組。您的規則群組必須已存在於 Firewall Manager 系統管理員帳戶中,才能將它們包含在原則中。如需建立 Network Firewall 規則群組的資訊,請參閱AWS Network Firewall規則群組

Firewall Manager 式建立防火牆端點

根據您設定原則的方式,Firewall Manager 會為範圍內的每個 VPC 建立單一防火牆端點或多個防火牆端點。

  • 對於多個防火牆端點,Firewall Manager 會在每個可用區域中部署防火牆端點,其中包含具有網際網路閘道的子網路,或是路由表格中的 Firewall Manager 建立的防火牆端點路由。這是 Network Firewall 原則的預設選項。

  • 對於單一防火牆端點,Firewall Manager 會在具有網際網路閘道路由的任何子網路中,將防火牆端點部署在單一可用區域中。使用此選項時,其他區域中的流量必須跨越區域界限,才能由防火牆篩選。

注意

對於這兩個選項,必須有與路由表相關聯的子網路,其中包含 IPV4/PrefixList 路由。Firewall Manager 不會檢查任何其他資源。

Firewall Manager 如何管理您的防火牆子網路

防火牆子網路是 Firewall Manager 為過濾網路流量的防火牆端點建立的 VPC 子網路。每個防火牆端點必須部署在專用 VPC 子網路中。Firewall Manager 會在原則範圍內的每個 VPC 中建立至少一個防火牆子網路。

Firewall Manager 只會在具有具有網際網路閘道路由的子網路的可用區域中建立防火牆子網路,或是具有通往 Firewall Manager 為其原則建立防火牆端點路由的子網路。如需詳細資訊,請參閱「」VPC 和子網路中的Amazon VPC User Guide

當您第一次定義 Network Firewall 原則時,您可以選擇下列其中一種方式讓 Firewall Manager 管理範圍內每個 VPC 中的防火牆子網路。您之後便無法變更此選項。

  • 為每個具有公用子網路的可用區域部署防火牆子網路。這是預設行為。這可為您的流量過濾保護提供高可用性。

  • 在一個可用區域中部署單一防火牆子網路。透過此選項,Firewall Manager 會識別 VPC 中具有最多公用子網路的區域,並在該處建立防火牆子網路。單一防火牆端點會篩選 VPC 的所有網路流量。這可以降低防火牆成本,但它不是高可用性,而且需要來自其他區域的流量跨區域界限才能進行篩選。

您可以提供 VPC CIDR 區塊供 Firewall Manager 用於防火牆子網路,也可以將防火牆端點位址的選擇保留為 Firewall Manager 以判斷。

  • 如果您未提供 CIDR 區塊,Firewall Manager 會查詢您的 VPC 是否有可用的 IP 位址可供使用。

  • 如果您提供 CIDR 區塊清單,Firewall Manager 只會在您提供的 CIDR 區塊中搜尋新的子網路。您必須使用 /28 CIDR 區塊。對於 Firewall Manager 建立的每個防火牆子網路,它會逐步執行您的 CIDR 封鎖清單,並使用它找到適用於可用區域和 VPC 且具有可用位址的第一個防火牆子網路。

如果 Firewall Manager 無法在可用區域中建立必要的防火牆子網路,它會將子網路標示為與原則不相容。當區域處於此狀態時,區域的流量必須跨越區域界限,才能由另一個區域中的端點篩選。這與單一防火牆子網路案例類似。

Firewall Manager 如何管理 Network Firewall 資源

當您在 Firewall Manager 中定義原則時,會提供標準AWS Network Firewall防火牆政策 您可以新增無狀態和可設定狀態的 Network Firewall 規則群組,並為不符合任何無狀態規則的封包指定預設動作。如需使用防火牆原則的相關資訊,請參閱AWS Network Firewall,請參閱AWS Network Firewall防火牆政策

當您儲存 Network Firewall 原則時,Firewall Manager 會在原則範圍內的每個 VPC 中建立防火牆和防火牆原則。Firewall Manager 會串連下列值,以命名這些 Network Firewall 資源:

  • 一個固定的字符串,FMManagedNetworkFirewallFMManagedNetworkFirewallPolicy,視資源類型而定。

  • Firewall Manager 政策。這是您在建立原則時指派的名稱。

  • Firewall 政策識別碼。這是AWS資源識 Firewall Manager。

  • Amazon VPC ID。這是AWS資源識別碼,Firewall Manager 會在其中建立防火牆和防火牆策略。

下列顯示由 Firewall Manager 管理之防火牆的範例名稱:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

以下顯示防火牆政策名稱範例:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

建立原則後,VPC 中的帳戶擁有者無法覆寫防火牆原則設定或規則群組,但是他們可以將規則群組新增至 Firewall Manager 建立的防火牆原則。

Firewall Manager 如何管理和監控原則的 VPC 路由表

當 Firewall Manager 建立防火牆端點時,也會為它們建立 VPC 路由表。不過,Firewall Manager 不會管理您的 VPC 路由表。您必須設定 VPC 路由表,將網路流量導向 Firewall Manager 建立的防火牆端點。使用 Amazon VPC 入口路由增強功能,變更路由表以透過新的防火牆終端節點路由流量。您的變更必須在要保護的子網路與外部位置之間插入防火牆端點。您需要執行的確切路由取決於您的架構及其組件。

如需管理 VPC 之路由表的資訊,請參閱路由表中的Amazon Virtual Private Cloud 用戶指南。如需管理 Network Firewall 之路由表的資訊,請參閱用於的路由表組態AWS Network Firewall中的AWS Network Firewall開發人員指南

當您啟用政策的監控時,Firewall Manager 會持續監控 VPC 路由設定,並警示您略過該 VPC 的防火牆檢查的流量。如果子網路有防火牆端點路由,Firewall Manager 會尋找下列路由:

  • 將流量傳送至 Network Firewall 端點的路由。

  • 路由將流量從 Network Firewall 端點轉送至網際網路閘道。

  • 從網際網路閘道到 Network Firewall 端點的輸入路由。

  • 路由回子網路。

如果子網路有 Network Firewall 路由,但 Network Firewall 中有非對稱路由,而您的網際網路閘道路由表格,則 Firewall Manager 會將子網路報告為不相容。Firewall ManagerBlackhole路由傳送至 Firewall Manager 建立的防火牆路由表格中的網際網路閘道,以及子網路的路由表格,並將其報告為不相容。Network Firewall 子網路路由表格中的其他路由,以及您的網際網路閘道路由表格也會報告為不相容。根據違規類型,Firewall Manager 會建議修復動作,使路由組態成為符合性。Firewall Manager 不會在所有情況下提供建議。例如,如果您的客戶子網路具有在 Firewall Manager 之外建立的防火牆端點,則 Firewall Manager 不會建議修復動作。

注意
  • Firewall Manager 不會針對非 IPv4 路由建議修復動作,例如 IPv6 和首碼清單路由。

  • 使用DisassociateRouteTableAPI 呼叫最多需要 12 小時才能偵測。

  • Firewall Manager 會為包含防火牆端點的子網路建立「Network Firewall」路由表。Firewall Manager 假設此路由表只包含有效的網際網路閘道和 VPC 預設路由。此路由表中的任何額外或無效路由都會被視為不符合標準。

當您設定 Firewall Manager 原則時,如果您選擇監控模式時,Firewall Manager 會提供有關您資源的資源違規和補救詳細資料。您可以使用這些建議的修正動作來修正路由表中的路由問題。如果選擇關閉模式時,Firewall Manager 不會為您監控路由表內容。使用此選項,您可以自行管理 VPC 路由表。如需這些資源違規的詳細資訊,請參閱檢視符合性資訊AWS Firewall Manager政策

警告

如果選擇監控根據 AWS Network Firewall路由組態時,您無法針對該政策關閉該政策。但是,如果您選擇關閉,您可以稍後啟用它。