AWS Network Firewall
对 VPC 流量进行有状态检测,提供入侵防护和域名过滤的托管网络防火墙服务
概述
AWS Network Firewall 是一项对 VPC 内网络流量进行精细控制的托管防火墙服务。它提供安全组和 NACL 无法实现的高级流量检测功能(有状态检测、入侵检测与防护、基于域名的过滤、TLS 检测)。采用 Suricata 兼容的规则引擎,可迁移现有的 IDS/IPS 规则集。可与 Transit Gateway 和 Gateway Load Balancer 结合使用,作为多 VPC 环境的集中式防火墙运行。
无状态规则与有状态规则的两级架构
Network Firewall 的规则由无状态规则组和有状态规则组两种类型构成。无状态规则基于 IP 地址、端口和协议进行简单过滤,行为类似于 NACL。有状态规则跟踪连接状态,支持 Suricata 兼容的 5 元组规则、域名列表规则和 Suricata IPS 规则三种格式。由于采用基于 Suricata 的规则引擎,可以直接使用 Emerging Threats 和 Snort 社区发布的开源 IDS/IPS 规则集。Azure Firewall 采用专有规则引擎,不支持直接导入此类开源规则。在实践中,推荐使用两级架构:先用无状态规则丢弃明显不需要的流量(已知恶意 IP 范围),再用有状态规则对剩余流量进行详细检测。
域名过滤与 TLS 检测
Network Firewall 的域名列表规则在仅允许特定域名的 HTTP/HTTPS 通信场景中非常强大。适用于限制对外部 API 的通信或阻止恶意软件的 C2(Command and Control)通信。HTTP 通信通过检查 Host 头部判定域名,HTTPS 通信通过检查 TLS 的 SNI(Server Name Indication)字段判定域名。启用 TLS 检测功能后可检查加密流量的内容,但由于使用 ACM(AWS Certificate Manager)管理的 CA 证书对通信进行解密和重新加密,需要在客户端配置信任该 CA 证书。网络安全相关书籍(Amazon)可供系统学习。
集中检测 VPC 与 Firewall Manager 的组织级部署
Network Firewall 最常见的部署模式是集中检测 VPC。通过 Transit Gateway 路由将所有 VPC 的互联网流量汇聚到检测 VPC,由 Network Firewall 统一检测。这种架构无需在每个 VPC 中单独部署防火墙,实现了规则的集中管理。结合 Firewall Manager 可以在 Organizations 内所有账户中应用统一的防火墙策略,新建 VPC 时也会自动部署防火墙。成本方面需注意,防火墙端点需要在每个可用区创建,3 可用区架构会产生 3 个端点的固定费用。加上流量处理的按量计费,在处理大量流量的环境中成本不可忽视。如果安全组和 NACL 能满足需求,也可以不引入 Network Firewall。