AWS Network Firewall 政策: - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Network Firewall 政策:

您可以使用AWS Firewall ManagerNetwork Firewall政策以管理AWS Network Firewall 防火牆為您的 Amazon Virtual Private CloudVPC橫越組織在AWS Organizations。您可以將集中控制的防火牆套用至整間組織,或選取您的帳戶和 VPC 子集。

Network Firewall 為 VPC 中的公用子網路提供網路流量篩選保護。當您套用 Firewall Manager 策略時,Firewall Manager 會針對策略範圍內的每個帳戶和 VPC 建立 Network Firewall 防火牆,並將防火牆端點部署到 VPC 私人雲端子網路,以過濾網路流量。

注意

Firewall Manager Network Firewall 策略是 Firewall Manager 策略,可用來管理組織中 VPC 的 Network Firewall 保護。

Network Firewall 防護是在稱為防火牆策略的「Network Firewall」服務的資源中指定。

如需使用 Network Firewall 的詳細資訊,請參閱AWS Network Firewall開發人員指南

下列各節涵蓋使用 Firewall Manager Network Firewall 策略的需求,並說明這些策略的運作方式。如需建立政策的程序,請參閱建立適用於 AWS Network Firewall 的 AWS Firewall Manager 政策

您必須啟用資源共用

「Network Firewall」策略會跨組織中的帳號共用「Network Firewall」規則群組。若要使用此功能,您必須啟用的資源共用AWS Organizations。如需如何啟用資源共用的資訊,請參閱Network Firewall 和 DNS 防火牆策略的資源共用

您必須已定義 Network Firewall 規則群組

當您指定新的 Network Firewall 策略時,防火牆策略的定義與使用時的方式相同AWS Network Firewall直接。您可以指定要新增的無狀態規則群組、預設無狀態動作,以及可設定狀態的規則群組。您的規則群組必須已存在於 Firewall Manager 管理員帳戶中,您才能將它們包含在策略中。如需有關建立 Network Firewall 規則群組的資訊,請參閱AWS Network Firewall規則群組

Firewall Manager 如何建立防火牆端點

所以此部署模型在您的策略中決定 Firewall Manager 如何創建防火牆端點。有兩種部署模式可供選擇,分散式部署模型,以及集中式部署模型

  • 分散式部署模型-使用分散式部署模型,Firewall Manager 會為策略範圍內的每個 VPC 建立端點。您可以指定要在其中建立防火牆端點的可用區域來自訂端點位置,或 Firewall Manager 可以在具有公用子網路的可用區域中自動建立端點。如果您手動選擇可用區域,則可以選擇限制每個可用區域允許的 CIDR 集。如果您決定讓 Firewall Manager 自動建立端點,您也必須指定服務要在您的 VPC 中建立單一端點還是多個防火牆端點。

    • 對於多個防火牆端點,Firewall Manager 會在每個可用區域中部署防火牆端點,其中您擁有具有網際網路閘道的子網路,或路由表格中有 Firewall Manager 建立的防火牆端點路由。這是 Network Firewall 策略的預設選項。

    • 對於單一防火牆端點,Firewall Manager 會在具有網際網路閘道路由的任何子網路中的單一可用區域中部署防火牆端點。使用此選項時,其他區域中的流量需要跨越區域邊界,才能由防火牆過濾。

      注意

      對於這兩個選項,必須有一個與路由表相關聯的子網路,其中包含 IPv4/Prefix List 路由。Firewall Manager 不會檢查任何其他資源。

  • 集中式部署模型-使用集中式部署模式,「Firewall Manager」會在一個內建立一或多個防火牆端點VPC。檢查 VPC 是 Firewall Manager 啟動端點的中央 VPC。使用集中式部署模型時,也可以指定要在其中建立防火牆端點的可用區域。建立政策後,即無法變更檢查 VPC。若要使用不同的檢查 VPC,您必須建立新政策。

如果您變更可用區域的清單,Firewall Manager 會嘗試清除過去建立但目前不在策略範圍內的任何端點。只有在沒有參考超出範圍端點的路由表路由時,Firewall Manager 才會移除端點。如果 Firewall Manager 發現無法刪除這些端點,它會將防火牆子網路標示為不相容,並會繼續嘗試移除端點,直到可以安全刪除為止。

Firewall Manager 如何管理您的防火牆子網路

防火牆子網路是 Firewall Manager 為防火牆端點建立的虛擬私人雲端子網路,以過濾您的網路流量。每個防火牆端點都必須部署在專用 VPC 子網路中。Firewall Manager 會在策略範圍內的每個 VPC 中至少建立一個防火牆子網路。

對於使用具有自動端點組態設定的分散式部署模型的策略,Firewall Manager 只會在具有具有網際網路閘道路由之子網路的可用區域中建立防火牆子網路,或是具有路由到 Firewall Manager 為其策略建立之防火牆端點的子網路。如需詳細資訊,請參閱《Amazon VPC 使用者指南》https://docs.aws.amazon.com/vpc/latest/userguide/中的 VPC 和子網路

對於使用您指定可用區域 Firewall Manager 在其中建立防火牆端點的分散式或集中式模型的策略,Firewall Manager 會在這些特定的可用區域中建立端點,而不論可用區域中是否有其他資源。

當您第一次定義 Network Firewall 策略時,您可以指定 Firewall Manager 如何管理範圍內的每個 VPC 中的防火牆子網路。您之後無法變更此選擇。

對於使用具有自動端點設定的分散式部署模型的策略,您可以選擇下列選項:

  • 為每個具有公用子網路的可用區域部署防火牆子網路。這是預設行為。這可為您的流量過濾保護提供高可用性。

  • 在一個可用區域中部署單一防火牆子網路。透過此選項,Firewall Manager 可識別 VPC 中具有最多公用子網路的區域,並在該處建立防火牆子網路。單一防火牆端點會過濾 VPC 的所有網路流量。這樣可以降低防火牆成本,但它不具備高可用性,而且需要來自其他區域的流量才能跨越區域邊界才能進行篩選。

對於使用具有自訂端點組態或集中式部署模型的分散式部署模型的原則,Firewall Manager 會在原則範圍內的指定可用區域中建立子網路。

您可以為 Firewall Manager 提供 VPC CIDR 封鎖以供防火牆子網路使用,或者您可以將防火牆端點位址的選擇保留給 Firewall Manager 來決定。

  • 如果您未提供 CIDR 封鎖,Firewall Manager 會查詢您的 VPC 是否有可用的 IP 位址可供使用。

  • 如果您提供 CIDR 封鎖清單,則「Firewall Manager」只會在您提供的 CIDR 區塊中搜尋新的子網路。您必須使用 /28 CIDR 區塊。對於 Firewall Manager 建立的每個防火牆子網路,它會逐步引導您的 CIDR 封鎖清單,並使用發現適用於可用區域和 VPC 且具有可用位址的第一個防火牆子網路。如果 Firewall Manager 無法在 VPC 中找到開放空間(有無限制),則該服務將不會在 VPC 中創建防火牆。

如果 Firewall Manager 無法在可用區域中建立必要的防火牆子網路,則會將子網路標示為不符合原則。當區域處於此狀態時,區域的流量必須跨越區域邊界,才能由另一個區域中的端點進行篩選。這類似於單一防火牆子網路案例。

Firewall Manager 如何管理您的 Network Firewall 資源

當您在 Firewall Manager 中定義策略時,您可以提供標準的網路流量過濾行為AWS Network Firewall防火牆政策 您可以新增無狀態和可設定狀態的 Network Firewall 規則群組,並為不符合任何無狀態規則的封包指定預設動作。如需使用中的防火牆策略的相關資訊AWS Network Firewall,請參閱AWS Network Firewall防火牆政策

當您儲存 Network Firewall 策略時,Firewall Manager 會在策略範圍內的每個 VPC 中建立防火牆和防火牆策略。Firewall Manager 藉由串連下列值來命名這些 Network Firewall 資源:

  • 一個固定的字符串,或者FMManagedNetworkFirewall或者FMManagedNetworkFirewallPolicy,取決於資源類型。

  • Firewall Manager 政策名稱。這是您在建立策略時指派的名稱。

  • Firewall Manager 政策 ID 政策 ID。這就是AWSFirewall Manager 政策的資源 ID。

  • 亞馬遜 VPC ID 這就是AWSFirewall Manager 在其中建立防火牆和防火牆策略的 VPC 的資源識別碼。

以下顯示由「Firewall Manager」管理之防火牆的範例名稱:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

以下顯示防火牆政策範例:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

建立原則後,VPC 中的帳戶擁有者無法覆寫您的防火牆原則設定或規則群組,但是他們可以將規則群組新增至 Firewall Manager 建立的防火牆策略。

Firewall Manager 如何針對您的政策管理和監控 VPC 路由表

注意

使用集中式部署模型的原則目前不支援路由表管理。

當 Firewall Manager 建立防火牆端點時,也會為其建立 VPC 路由表。但是,Firewall Manager 不會管理您的 VPC 路由表。您必須設定 VPC 路由表,以將網路流量導向至 Firewall Manager 建立的防火牆端點。使用 Amazon VPC 輸入路由增強功能,變更路由表以透過新的防火牆端點路由流量。您的變更必須將防火牆端點插入您要保護的子網路之間以及位置之外。您需要執行的確切路由取決於您的架構及其元件。

目前,Firewall Manager 允許監控您的 VPC 路由表路由,以查看目的地到 Internet 閘道(繞過防火牆)的任何流量。Firewall Manager 不支援 NAT 閘道等其他目標閘道。

如需有關管理 VPC 路由表的資訊,請參閱管理 VPC 的路由表中的Amazon Virtual Private Cloud 使用者指南。如需有關管理網路防火墻的路由表的資訊,請參閱的路由表組態AWS Network Firewall中的AWS Network Firewall開發人員指南

當您啟用對策略的監控時,Firewall Manager 會持續監控 VPC 路由配置,並警告您有關繞過該 VPC 防火牆檢查的流量。如果子網路具有防火牆端點路由,「Firewall Manager」會尋找下列路由:

  • 路由,將流量傳送到 Network Firewall 端點。

  • 路由以將流量從 Network Firewall 端點轉送至網際網路閘道。

  • 從網際網路閘道到 Network Firewall 端點的輸入路由。

  • 從防火牆子網路路由。

如果子網路具有 Network Firewall 路由,但 Network Firewall 和您的網際網路閘道路由表中有非對稱路由,則 Firewall Manager 會將子網路報告為不相容。Firewall Manager 也會在 Firewall Manager 建立的防火牆路由表中偵測到網際網路閘道的路由,以及子網路的路由表,並將其報告為不相容。Network Firewall 子網路路由表和您的網際網路閘道路由表中的其他路由也會報告為不相容。根據違規類型,Firewall Manager 會建議修復動作,以使路由組態符合性。Firewall Manager 不會在所有情況下提供建議。例如,如果您的客戶子網路具有在 Firewall Manager 之外建立的防火牆端點,則 Firewall Manager 不會建議修復動作。

根據預設,Firewall Manager 會將任何跨越可用區域界限的流量標記為不相容。不過,如果您選擇在 VPC 中自動建立單一端點,Firewall Manager 就不會將跨越可用區域界限的流量標記為不合規。

對於使用具有自訂端點組態的分散式部署模型的策略,您可以選擇是否將跨越可用區域界限的流量從沒有防火牆端點的可用區域邊界標記為符合標準或不相容。

注意
  • Firewall Manager 不會針對非 IPv4 路由 (例如 IPv6 和前置詞清單路由) 建議修復動作。

  • 使用撥打的電話DisassociateRouteTableAPI 呼叫最長可能需要 12 小時才能偵測到。

  • Firewall Manager 會為包含防火牆端點的子網路建立「Network Firewall」路由表。Firewall Manager 假設此路由表只包含有效的網際網路閘道和 VPC 預設路由。此路由表中的任何額外或無效的路由都被認為是不合規的。

當您設定 Firewall Manager 策略時,如果您選擇監控模式中,Firewall Manager 會提供有關您資源的資源違規和修正詳細資訊。您可以使用這些建議的修正動作來修正路由表中的路由問題。如果選擇關閉模式中,Firewall Manager 器不會為您監視路由表內容。使用此選項,您可以自行管理 VPC 路由表。如需這些資源違規的詳細資訊,請參閱檢視合規資訊AWS Firewall Manager政策

警告

如果選擇監控 AWS Network Firewall路由組態建立原則時,您無法針對該原則將其關閉。但是,如果您選擇關閉,您可以稍後啟用它。

設定 的記錄功能AWS Network Firewall政策

您可以啟用 Network Firewall 政策的集中式日誌記錄,取得組織內流量的詳細資訊。您可以選取流程記錄來擷取網路流量,或選取警示記錄來報告符合規則且規則動作設定為的流量DROP或者ALERT。如需有關 的詳細資訊AWS Network Firewall記錄,請參閱記錄網路流量AWS Network Firewall中的AWS Network Firewall開發人員指南

您可以從政策的 Network Firewall 防火牆將日誌傳送到 Amazon S3 儲存貯體。啟用記錄之後,AWS Network Firewall透過更新防火牆設定,為每個已設定的 Network Firewall 提供日誌,以便將日誌交付到您選取的 Amazon S3 儲存貯體 (含保留)AWS Firewall Manager前置詞,<policy-name>-<policy-id>

注意

Firewall Manager 會使用此前置詞來判斷 Firewall Manager 是否已新增記錄組態,或是帳戶擁有者是否已新增記錄組態。如果帳戶擁有者嘗試將保留的前置詞用於自己的自訂記錄,則 Firewall Manager 策略中的記錄設定會覆寫該前置詞。

如需有關如何建立 Amazon S3 儲存貯體和檢閱存放日誌的詳細資訊,請參閱什麼是 Amazon S3?中的Amazon Storage Service 使用者指南

若要啟用記錄,您必須符合下列需求:

  • 您在 Firewall Manager 政策中指定的 Amazon S3 必須存在。

  • 您必須具備下列許可:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 如果作為記錄目的地的 Amazon S3 儲存貯體使用伺服器端加密和存放在其中的金鑰AWS Key Management Service,您必須將以下政策加入到AWS KMS客戶管理的金鑰,可讓 Firewall Manager 登入您的 CloudWatch 日誌群組:

    { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

請注意,只有 Firewall Manager 管理員帳戶中的值區可用於AWS Network Firewall集中式日誌。

當您在 Network Firewall 策略上啟用集中式記錄時,Firewall Manager 會對您的帳戶採取下列動作:

  • Firewall Manager 會更新所選 S3 儲存貯體上的許可,以允許日誌傳遞。

  • Firewall Manager 會為策略範圍內的每個成員帳戶在 S3 儲存貯體中建立目錄。您可以在找到每個帳戶的日誌<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>

啟用 Network Firewall 策略的記錄

  1. 使用 Firewall Manager 帳戶建立 Amazon S3 儲存貯體。如需詳細資訊,請參閱「」建立儲存貯體中的Amazon Storage Service 使用者指南

  2. 登入AWS Management Console使用 Firewall Manager 帳戶開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  3. 在導覽窗格中,選擇安全政策

  4. 選擇要啟用記錄的 Network Firewall 政策。如需有關 的詳細資訊AWS Network Firewall記錄,請參閱記錄網路流量AWS Network Firewall中的AWS Network Firewall開發人員指南

  5. 在「」政策詳細資訊」頁籤中的政策規則區段中,選擇Edit (編輯)

  6. 若要啟用和彙總記錄,請選擇下方的一或多個選項記錄日誌組態

    • 啟用和彙總流程記錄

    • 啟用和彙總警示記錄

  7. 選擇您想要在其中交付日誌的 Amazon S3 儲存貯體。您必須為啟用的每個記錄類型選擇一個值區。您可以對兩個記錄類型使用相同的儲存貯體。

  8. (選擇性) 如果您要將自訂成員帳戶建立的記錄檔取代為原則的記錄設定,請選擇覆寫現有的記錄組態

  9. 選擇 Next (下一步)。

  10. 檢閱您的設定,然後選擇Save以儲存您對政策的變更。

停用 Network Firewall 策略的記錄

  1. 登入AWS Management Console使用 Firewall Manager 帳戶,然後在開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇安全政策

  3. 選擇您想停用記錄的 Network Firewall 政策。

  4. 在「」政策詳細資訊」頁籤中的政策規則區段中,選擇Edit (編輯)

  5. 在下方記錄日誌組態狀態,取消選啟用和彙總流程記錄啟用和彙總警示記錄如果他們被選中。

  6. 選擇 Next (下一步)。

  7. 檢閱您的設定,然後選擇Save以儲存您對政策的變更。