AWS Network Firewall 政策: - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Network Firewall 政策:

您可以使用 AWS Firewall Manager Network Firewall 政策來管理整個組織中 AWS Organizations Amazon Virtual Pri vate Cloud VPC 的AWS Network Firewall火牆。您可以將集中控制的防火牆套用至整個組織,或套用至特定的帳戶和 VPC 子集。

Network Firewall 為 VPC 中的公用子網路提供網路流量篩選保護。Firewall Manager 員會根據您的策略定義的防火牆管理類型來建立和管理防火牆。Firewall Manager 員提供下列防火牆管理模式:

  • 分散式-對於策略範圍內的每個帳戶和 VPC,Firewall Manager 會建立 Network Firewall 防火牆防火牆,並將防火牆端點部署到 VPC 私人雲端子網路,以過濾網路流量。

  • 集中式-Firewall Manager 員會在單一 Amazon VPC 中建立單一 Network Firewall 防火牆。

  • 匯入現有的防火牆-「Firewall Manager 員」會在單一 Firewall Manager 員原則中匯入現有防火牆 您可以將其他規則套用至由原則管理的匯入防火牆,以確保防火牆符合您的安全標準。

注意

Firewall Manager 員 Network Firewall 策略是 Firewall Manager 員策略,可用來管理整個組織中 VPC 的 Network Firewall 保護。

Network Firewall 防護是在稱為防火牆策略的「Network Firewall」服務的資源中指定。

如需有關使用 Network Firewall 的資訊,請參閱開AWS Network Firewall發人員指南

下列各節涵蓋使用 Firewall Manager 員 Network Firewall 策略的需求,並說明這些策略的運作方式。如需建立策略的程序,請參閱建立適用於 AWS Network Firewall 的 AWS Firewall Manager 政策

您必須啟用資源共用

「Network Firewall」策略會跨組織中的帳號共用「Network Firewall」規則群組。若要使用此功能,您必須啟用的資源共用AWS Organizations。若要取得有關如何啟用資源共用的資訊,請參閱Network Firewall 和 DNS 防火牆策略的資源共用

您必須已定義 Network Firewall 規則群組

當您指定新的 Network Firewall 策略時,防火牆策略的定義與AWS Network Firewall直接使用時的方式相同。您可以指定要新增的無狀態規則群組、預設無狀態動作,以及可設定狀態的規則群組。您的規則群組必須已存在於 Firewall Manager 員管理員帳戶中,您才能將它們包含在策略中。如需建立 Network Firewall 規則群組的詳細資訊,請參閱AWS Network Firewall規則群組

Firewall Manager 員建立防火牆端點

策略中的 Firewall Manager 類型決定了防火牆管理員如何建立防火牆。您的原則可以建立分散式防火牆、集中式防火牆,或匯入現有的防火牆

  • 分散式-使用分散式部署模式,Firewall Manager 員會為策略範圍內的每個 VPC 建立端點。您可以指定要在其中建立防火牆端點的可用區域來自訂端點位置,或 Firewall Manager 可以在具有公用子網路的可用區域中自動建立端點。如果您手動選擇可用區域,則可以選擇限制每個可用區域允許的 CIDR 集。如果您決定讓 Firewall Manager 自動建立端點,您也必須指定服務要在您的 VPC 中建立單一端點還是多個防火牆端點。

    • 對於多個防火牆端點,Firewall Manager 會在每個可用區域中部署防火牆端點,其中您擁有具有網際網路閘道的子網路,或路由表格中有 Firewall Manager 員建立的防火牆端點路由。這是 Network Firewall 策略的預設選項。

    • 對於單一防火牆端點,Firewall Manager 會在具有網際網路閘道路由的任何子網路中的單一可用區域中部署防火牆端點。使用此選項時,其他區域中的流量需要跨越區域邊界,才能由防火牆過濾。

      注意

      對於這兩個選項,必須有一個與路由表相關聯的子網路,其中包含 IPv4/Prefix List 路由。Firewall Manager 員不會檢查任何其他資源。

  • 集中式-使用集中式部署模式,Firewall Manager 員會在檢查 VPC 內建立一或多個防火牆端點。檢查 VPC 是 Firewall Manager 員啟動端點的中央 VPC。使用集中式部署模型時,您也可以指定要在其中建立防火牆端點的可用區域。建立原則之後,您無法變更檢查 VPC。若要使用不同的檢查 VPC,您必須建立新原則。

  • 匯入現有防火牆-匯入現有防火牆時,您可以在策略中新增一或多個資源集,以選擇要在策略中管理的防火牆。資源集是資源的集合,在此情況下,Network Firewall 中的現有防火牆是由您組織中的帳號所管理。在策略中使用資源集之前,必須先建立資源集。如需有關 Firewall Manager 員資源集的資訊,請參閱在 Firewall Manager 員中使用資源集

    使用匯入的防火牆時,請記住下列考量事項:

    • 如果匯入的防火牆變成不相容,Firewall Manager 會嘗試自動解決違規,但下列情況除外:

      • 如果「Firewall Manager 員」和「Network Firewall」策略的狀態或無狀態預設處理行動之間發生不相符。

      • 如果匯入的防火牆防火牆策略中的規則群組的優先順序與「Firewall Manager 員」策略中的規則群組具有相同的優先順序。

      • 如果匯入的防火牆使用與不屬於策略資源集一部分的防火牆相關聯的防火牆策略。這可能是因為防火牆只能有一個防火牆策略,但單一防火牆策略可以與多個防火牆關聯。

      • 如果屬於已匯入之防火牆防火牆策略 (也在 Firewall Manager 策略中指定) 的預先存在規則群組具有不同的優先順序。

    • 如果您在策略中啟用資源清理,Firewall Manager 會從資源集範圍內的防火牆中移除已在 FMS 匯入策略中的規則群組。

    • 由「Firewall Manager 員」管理的防火牆管理員匯入現有防火牆管理類型,一次只能由一個策略來管理。如果將相同資源集新增至多個匯入網路防火牆策略,則資源集中的防火牆將由新增資源集的第一個策略來管理,而第二個策略將忽略該資源集中的防火牆。

    • Firewall Manager 員目前不會串流例外狀況策略設定。如需串流例外狀況政策的詳細資訊,請參閱AWS Network Firewall開發人員指南中的串流例外狀況

如果您使用分散式或集中式防火牆管理變更原則的可用區域清單,Firewall Manager 會嘗試清除過去建立但目前不在策略範圍內的任何端點。只有在沒有參考超出範圍端點的路由表路由時,Firewall Manager 員才會移除端點。如果 Firewall Manager 發現無法刪除這些端點,它會將防火牆子網路標示為不相容,並會繼續嘗試移除端點,直到可以安全刪除為止。

Firewall Manager 員如何管理防火牆子網路

防火牆子網路是 Firewall Manager 員為防火牆端點建立的虛擬私人雲端子網路,以過濾您的網路流量。每個防火牆端點都必須部署在專用的 VPC 子網路中。Firewall Manager 員會在策略範圍內的每個 VPC 中至少建立一個防火牆子網路。

對於使用具有自動端點組態設定的分散式部署模型的策略,Firewall Manager 只會在具有具有網際網路閘道路由之子網路的可用區域中建立防火牆子網路,或是具有路由到 Firewall Manager 為其策略建立之防火牆端點的子網路。如需詳細資訊,請參閱《Amazon VPC 使用者指南》https://docs.aws.amazon.com/vpc/latest/userguide/中的 VPC 和子網路

對於使用您指定可用區域 Firewall Manager 在其中建立防火牆端點的分散式或集中式模型的策略,Firewall Manager 會在這些特定的可用區域中建立端點,而不論可用區域中是否有其他資源。

當您第一次定義 Network Firewall 策略時,您可以指定 Firewall Manager 如何管理範圍內的每個 VPC 中的防火牆子網路。您之後無法變更此選擇。

對於使用具有自動端點設定的分散式部署模型的策略,您可以選擇下列選項:

  • 為每個具有公用子網路的可用區域部署防火牆子網路。這是預設行為。這可為您的流量過濾保護提供高可用性。

  • 在一個可用區域中部署單一防火牆子網路。透過此選項,Firewall Manager 員可識別 VPC 中具有最多公用子網路的區域,並在該處建立防火牆子網路。單一防火牆端點會過濾 VPC 的所有網路流量。這樣可以降低防火牆成本,但它不具備高可用性,而且需要來自其他區域的流量才能跨越區域邊界才能進行篩選。

對於使用具有自訂端點組態或集中式部署模型的分散式部署模型的原則,Firewall Manager 會在原則範圍內的指定可用區域中建立子網路。

您可以為 Firewall Manager 員提供 VPC CIDR 封鎖以供防火牆子網路使用,或者您可以將防火牆端點位址的選擇保留給 Firewall Manager 員來決定。

  • 如果您未提供 CIDR 封鎖,Firewall Manager 員會查詢您的 VPC 是否有可用的 IP 位址可供使用。

  • 如果您提供 CIDR 封鎖清單,則「Firewall Manager 員」只會在您提供的 CIDR 區塊中搜尋新的子網路。您必須使用 /28 CIDR 區塊。對於 Firewall Manager 建立的每個防火牆子網路,它會逐步引導您的 CIDR 封鎖清單,並使用發現適用於可用區域和 VPC 且具有可用位址的第一個防火牆子網路。如果 Firewall Manager 員無法在 VPC 中找到開放空間(有無限制),則該服務將不會在 VPC 中創建防火牆。

如果 Firewall Manager 無法在可用區域中建立必要的防火牆子網路,則會將子網路標示為不符合原則。當區域處於此狀態時,區域的流量必須跨越區域邊界,才能由另一個區域中的端點進行篩選。這類似於單一防火牆子網路案例。

Firewall Manager 員如何管理 Network Firewall 資源

當您在 Firewall Manager 員中定義策略時,您會提供標準防AWS Network Firewall火牆策略的網路流量過濾行為。您可以新增無狀態和可設定狀態的 Network Firewall 規則群組,並為不符合任何無狀態規則的封包指定預設動作。如需有關使用中的防火牆策略的資訊AWS Network Firewall,請參閱AWS Network Firewall防火牆策略

對於分散式和集中式策略,當您儲存 Network Firewall 策略時,Firewall Manager 會在策略範圍內的每個 VPC 中建立防火牆和防火牆策略。Firewall Manager 員藉由串連下列值來命名這些 Network Firewall 資源:

  • 固定字串 (FMManagedNetworkFirewall或)FMManagedNetworkFirewallPolicy,視資源類型而定。

  • Firewall Manager 員策略名稱。這是您在建立策略時指派的名稱。

  • Firewall Manager 員策略 ID。這是 Firewall Manager 員策略的AWS資源 ID。

  • Amazon VPC 識別碼。這是 Firewall Manager 員在其中建立防火牆和防火牆策略的 VPC 的AWS資源 ID。

以下顯示由「Firewall Manager 員」管理之防火牆的範例名稱:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

以下顯示防火牆策略名稱的範例:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

建立原則之後,VPC 中的成員帳戶無法覆寫您的防火牆原則設定或規則群組,但可以將規則群組新增至 Firewall Manager 建立的防火牆策略。

Firewall Manager 員如何針對您的政策管理和監控 VPC 路由表

注意

使用集中式部署模型的原則目前不支援路由表管理。

當 Firewall Manager 員建立防火牆端點時,也會為其建立 VPC 路由表。但是,Firewall Manager 員不會管理您的 VPC 路由表。您必須設定 VPC 路由表,以將網路流量導向至 Firewall Manager 員建立的防火牆端點。使用 Amazon VPC 輸入路由增強功能,變更路由表以透過新的防火牆端點路由流量。您的變更必須將防火牆端點插入您要保護的子網路之間以及位置之外。您需要執行的確切路由取決於您的架構及其元件。

目前,Firewall Manager 員允許監控您的 VPC 路由表路由,以查看目的地到 Internet 閘道(繞過防火牆)的任何流量。Firewall Manager 員不支援 NAT 閘道等其他目標閘道。

有關管理 VPC 路由表的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的管理 VPC 的路由表。如需管理「Network Firewall」路由表的詳細資訊,請參閱AWS Network Firewall開發人員指南AWS Network Firewall的「路由表組態」。

當您啟用對策略的監控時,Firewall Manager 會持續監控 VPC 路由配置,並警告您有關繞過該 VPC 防火牆檢查的流量。如果子網路具有防火牆端點路由,「Firewall Manager 員」會尋找下列路由:

  • 路由傳送流量至 Network Firewall 端點。

  • 路由以將流量從 Network Firewall 端點轉送至網際網路閘道。

  • 從網際網路閘道到 Network Firewall 端點的輸入路由。

  • 來自防火牆子網路的路由。

如果子網路具有 Network Firewall 路由,但 Network Firewall 和您的網際網路閘道路由表中有非對稱路由,則 Firewall Manager 員會將子網路報告為不相容。Firewall Manager 也會在 Firewall Manager 員建立的防火牆路由表中偵測到網際網路閘道的路由,以及子網路的路由表,並將其報告為不相容。Network Firewall 子網路路由表和您的網際網路閘道路由表中的其他路由也會報告為不相容。根據違規類型,Firewall Manager 員會建議修復動作,以使路由組態符合性。Firewall Manager 員不會在所有情況下提供建議。例如,如果您的客戶子網路具有在 Firewall Manager 員之外建立的防火牆端點,則 Firewall Manager 員不會建議修復動作。

根據預設,Firewall Manager 員會將任何跨越可用區域界限的流量標記為不相容。不過,如果您選擇在 VPC 中自動建立單一端點,Firewall Manager 就不會將跨越可用區域界限的流量標記為不合規。

對於使用具有自訂端點組態的分散式部署模型的策略,您可以選擇是否將跨越可用區域界限的流量從沒有防火牆端點的可用區域界限標記為合規還是不合規。

注意
  • Firewall Manager 員不會針對非 IPv4 路由 (例如 IPv6 和前置詞清單路由) 建議修復動作。

  • 使用 DisassociateRouteTable API 呼叫進行的呼叫最多可能需要 12 小時才能偵測到。

  • Firewall Manager 員會為包含防火牆端點的子網路建立 Network Firewall 路由表。Firewall Manager 員假設此路由表只包含有效的網際網路閘道和 VPC 預設路由。此路由表中的任何額外或無效的路由都被認為是不合規的。

設定 Firewall Manager 員策略時,如果您選擇監控模式,則 Firewall Manager 員會提供有關資源的資源違規和修復詳細資訊。您可以使用這些建議的修正動作來修正路由表中的路由問題。如果您選擇「關閉」模式,「Firewall Manager 員」不會為您監控路由表內容。使用此選項,您可以自行管理 VPC 路由表。如需有關這些資源違規的詳細資訊,請參閱檢視AWS Firewall Manager原則的符合性資訊

警告

如果您在建立原則時選擇 [AWS Network Firewall路由設定] 底下的 [監視器],則無法針對該原則將其關閉。但是,如果您選擇「關閉」,則可以稍後啟用它。

設定AWS Network Firewall原則的記錄

您可以為 Network Firewall 原則啟用集中式記錄,以取得組織內流量的詳細資訊。您可以選取流程記錄來擷取網路流量,或選取警示記錄來報告符合規則且規則動作設為DROP或的流量ALERT。如需有關AWS Network Firewall記錄的詳細資訊,請參閱AWS Network Firewall開發人員指南AWS Network Firewall中的記錄網路流量

您可以從政策的 Network Firewall 防火牆將日誌傳送到 Amazon S3 儲存貯體。啟用日誌記錄後,AWS Network Firewall透過更新防火牆設定來為每個設定的 Network Firewall 交付日誌,以便使用保留AWS Firewall Manager前綴將日誌傳遞到選取的 Amazon S3 儲存貯體<policy-name>-<policy-id>

注意

Firewall Manager 員會使用此前置詞來判斷 Firewall Manager 員是否已新增記錄組態,或是帳戶擁有者是否已新增記錄組態。如果帳戶擁有者嘗試將保留的前置詞用於自己的自訂記錄,則 Firewall Manager 員策略中的記錄設定會覆寫該前置詞。

如需如何建立 Amazon S3 儲存貯體和檢閱存放日誌的詳細資訊,請參閱什麼是 Amazon S3?Amazon 簡單存儲服務用戶指南

若要啟用記錄,您必須符合下列需求:

  • 您在 Firewall Manager 員政策中指定的 Amazon S3 必須存在。

  • 您必須具備下列許可:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 如果作為記錄目的地的 Amazon S3 儲存貯體使用伺服器端加密和存放在其中的金鑰AWS Key Management Service,您必須將下列政策新增至AWS KMS客戶管理的金鑰,以允許 Firewall Manager 員記錄到您的 CloudWatch 日誌記錄群組:

    { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

請注意,只有 Firewall Manager 員管理員帳戶中的值區才能用於AWS Network Firewall集中記錄。

當您在 Network Firewall 策略上啟用集中式記錄時,Firewall Manager 員會對您的帳戶採取下列動作:

  • Firewall Manager 員會更新所選 S3 儲存貯體上的許可,以允許日誌傳遞。

  • Firewall Manager 員會為策略範圍內的每個成員帳戶在 S3 儲存貯體中建立目錄。您可以在以下位置找到每個帳戶的記錄<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>

啟用 Network Firewall 策略的記錄
  1. 使用 Firewall Manager 員管理員帳戶建立 Amazon S3 儲存貯體。如需詳細資訊,請參Amazon 簡單儲存服務使用者指南中的建立儲存貯體

  2. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  3. 在瀏覽窗格中,選擇 [安全性原則]。

  4. 選擇您要啟用記錄的 Network Firewall 策略。如需有關AWS Network Firewall記錄的詳細資訊,請參閱AWS Network Firewall開發人員指南AWS Network Firewall中的記錄網路流量

  5. 在 [原則詳細資料] 索引標籤的 [原則規則] 區段中,選擇 [編輯]。

  6. 若要啟用和彙總記錄,請在記錄設定下選擇一或多個選項

    • 啟用和彙總流程記錄

    • 啟用和彙總警示記錄

  7. 選擇您要在其中交付日誌的 Amazon S3 儲存貯體。您必須為啟用的每個記錄類型選擇一個值區。兩種記錄類型都可以使用相同的值區。

  8. (選擇性) 如果要將自訂成員帳戶建立的記錄檔取代為原則的記錄組態,請選擇 [覆寫現有的記錄組態]。

  9. 選擇下一步

  10. 檢閱您的設定,然後選擇 [存] 以儲存對策略的變更。

停用 Network Firewall 策略的記錄
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在瀏覽窗格中,選擇 [安全性原則]。

  3. 選擇您要停用記錄的 Network Firewall 策略。

  4. 在 [原則詳細資料] 索引標籤的 [原則規則] 區段中,選擇 [編輯]。

  5. 在 [記錄組態狀態] 下,取消選取 [啟用和彙總流程記錄] 和 [啟用和彙總警示記錄 (如果已選取警示

  6. 選擇下一步

  7. 檢閱您的設定,然後選擇 [存] 以儲存對策略的變更。