AWS Network Firewall のアイコン

AWS Network Firewall Especializado2020年〜

Servicio de firewall gestionado para el control granular del tráfico de red en VPC

Unos 3 min de lectura

Qué hace

AWS Network Firewall es un servicio de firewall completamente gestionado que inspecciona y filtra el tráfico de red dentro de las VPC. Proporciona filtrado de paquetes con estado y sin estado, detección y prevención de intrusiones (IDS/IPS) y filtrado web. Cuenta con un motor de reglas compatible con Suricata, lo que permite migrar reglas de firewall existentes de entornos on-premises. Escala automáticamente con el volumen de tráfico, eliminando la planificación de capacidad.

Casos de uso

Se utiliza para el control de tráfico entre VPC, filtrado de tráfico saliente a internet, bloqueo de acceso a dominios maliciosos conocidos, auditoría de red para requisitos de cumplimiento, detección y bloqueo de comunicaciones de malware, y gestión centralizada de seguridad de red en entornos multi-cuenta.

Analogía cotidiana

Es como un guardia de seguridad de un edificio. Si los grupos de seguridad son cerraduras de puertas para cada habitación (control a nivel de puerto), Network Firewall es el guardia en la entrada del edificio. Verifica las identificaciones de los visitantes (contenido de los paquetes), detecta individuos sospechosos (tráfico malicioso) y los bloquea. El número de guardias se ajusta automáticamente según el tráfico del edificio.

¿Qué es Network Firewall?

AWS Network Firewall es un servicio que inspecciona y controla el tráfico de red a nivel de VPC. Mientras que los grupos de seguridad y las NACL (ACL de red) proporcionan filtrado básico basado en direcciones IP y números de puerto, Network Firewall puede realizar inspección profunda de paquetes (DPI) que examina el contenido de los paquetes (payload). Esto permite detectar amenazas en la capa de aplicación y anomalías de protocolo. La integración con AWS Firewall Manager permite gestionar centralmente las políticas de firewall en múltiples cuentas y VPC.

Motor de reglas y funciones de inspección

El motor de reglas de Network Firewall opera en una estructura de dos niveles con reglas sin estado y con estado. Las reglas sin estado realizan filtrado rápido basado en 5-tuplas (IP origen, IP destino, puerto origen, puerto destino, protocolo). Las reglas con estado admiten formatos de reglas IPS compatibles con Suricata, permitiendo filtrado de dominios basado en TLS SNI (Server Name Indication), inspección de encabezados HTTP y detección de anomalías de protocolo. Los grupos de reglas gestionados proporcionados por AWS permiten aplicar fácilmente reglas basadas en la inteligencia de amenazas más reciente. Para organizar los conceptos y técnicas del motor de reglas y las funciones de inspección, los libros relacionados en Amazon son útiles.

Arquitectura de despliegue

Network Firewall se despliega como un endpoint en una subred de firewall dedicada. Se configuran las tablas de rutas de la VPC para enrutar el tráfico a inspeccionar a través del endpoint del firewall. Combinado con Transit Gateway, puede inspeccionar centralmente el tráfico de múltiples VPC en una arquitectura hub-and-spoke. Los registros del firewall se pueden enviar a S3, CloudWatch Logs y Kinesis Data Firehose para auditoría de seguridad e investigación de incidentes.

Aspectos a tener en cuenta

  • If security groups and NACLs are sufficient, there's no need to add Network Firewall. Consider it when deep packet inspection or IDS/IPS is required
  • Firewall endpoints are created per AZ, so be aware that costs scale with the number of endpoints in multi-AZ configurations
共有するXB!

Servicios relacionados

AWS WAF iconoAWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunesAmazon GuardDuty iconoAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoAmazon VPC iconoAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursos

Artículos relacionados

Control de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.Security Groups son Stateful, NACLs son Stateless - La decisión de diseño detrás de esta diferenciaExplicamos cómo los Security Groups operan de forma stateful mediante el seguimiento de conexiones, por qué las NACLs son stateless, la trampa de los puertos efímeros y los patrones de diseño de defensa en profundidad combinando ambos.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWS

Artículos y servicios similares

AWS Network FirewallServicio de firewall de red gestionado que inspecciona el tráfico de la VPC de forma stateful, proporcionando prevención de intrusiones y filtrado por dominioControl de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.AWS Firewall ManagerUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWSGestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.AWS Firewall ManagerServicio de gestión de seguridad que aplica y administra de forma centralizada reglas de WAF, Shield Advanced, Security Groups y Network Firewall en múltiples cuentas y recursos bajo Organizations