AWS Network Firewall 功能

AWS Network Firewall 提供内置冗余，可确保对所有流量进行持续检查和监控。AWS Network Firewall 提供服务水平协议，承诺正常运行时间为 99.99%。AWS Network Firewall 可让您根据流量负载自动扩展或缩减防火墙容量，以保持稳定、可预测的性能，从而最大限度地降低成本。

有状态防火墙会考虑流量的上下文，实现更精细的策略执行，例如根据源地址或协议类型丢弃数据包。此有状态防火墙的匹配标准与 AWS Network Firewall 的无状态检查功能相同，但增加了流量方向的匹配设置。AWS Network Firewall 的灵活规则引擎让您能够根据源/目标 IP、源/目标端口和协议编写数千条防火墙规则。AWS Network Firewall 将在没有任何端口规范的情况下筛选常见协议，而不仅仅是筛选 TCP/UDP 流量。

AWS Network Firewall 支持对未加密的 Web 流量进行入站和出站 Web 筛选。对于加密的 Web 流量，服务器名称指示 (SNI) 用于阻止对特定站点的访问。SNI 是传输层安全性协议 (TLS) 的扩展，它在流量中保持未加密状态，指出客户端尝试通过 HTTPS 访问的目标主机名。此外，AWS Network Firewall 还可以筛选完全限定域名 (FQDN)。

AWS Network Firewall 的入侵防御系统 (IPS) 提供主动流量检查，以及实时网络和应用程序层保护，防止漏洞利用和暴力攻击。其基于签名的检测引擎可根据字节序列或数据包异常等属性，将网络流量模式与已知威胁签名进行匹配。

警报日志针对特定规则，提供有关触发的规则和触发该规则的特定会话的其他数据。流量日志提供有关通过防火墙的所有流量的状态信息，每个方向一行。AWS Network Firewall 流量日志可以本地存储在 Amazon S3、Amazon Kinesis 和 Amazon CloudWatch 中。

AWS Firewall Manager 是一项安全管理服务，使您能够在 AWS Organizations 中跨应用程序、VPC 和账户集中部署和管理安全策略。AWS Firewall Manager 可以将 AWS Network Firewall 规则组整理成可在基础设施中部署的策略，帮助您以一致的分层方式扩大执行范围。AWS Firewall Manager 提供跨账户的策略合规性汇总视图，并可自动执行修复流程。创建新账户、资源和网络组件时，Firewall Manager 通过强制执行一组通用防火墙策略，轻松使其合规。

AWS Network Firewall 使客户能够运行来自内部自定义规则开发的内部 或来自第三方供应商或开源平台的外部 Suricata 兼容规则。

AWS Network Firewall 与 AWS 合作伙伴集成，可与中央第三方策略编排集成，并将日志导出到分析解决方案。AWS Network Firewall 为偏好利用现有托管规则提供商的客户提供热门托管威胁情报源。AWS Network Firewall 可以插入第三方策略编排解决方案，从而集中管理混合或多防火墙供应商架构。为提高可见性，可以将 AWS Network Firewall 日志和安全事件信息发送到第三方分析解决方案，例如安全信息和事件管理 (SIEM) 软件。请参见 AWS Network Firewall 合作伙伴的完整列表

AWS Network Firewall 支持传输层安全性协议 (TLS) 检查，使客户能够通过提高对加密流量的可见性来改善他们在 AWS 上的安全状况。您可以使用 AWS Network Firewall 解密 TLS 会话并检查入站和出站的 Amazon Virtual Private Cloud (VPC) 流量，无需部署或管理任何额外的网络安全基础设施。加密和解密以原生方式发生在同一个防火墙实例中，因此流量不会跨越任何网络边界。