AwsNetworkFirewallRuleGroup - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AwsNetworkFirewallRuleGroup

这些区域有:AwsNetworkFirewallRuleGroup对象提供有关Amazon Network Firewall规则组。规则组用于检查和控制网络流量。无状态规则组适用于单个数据包。有状态规则组在数据包的流量上下文中应用于数据包。

防火墙策略中引用了规则组。

例子 — 无状态规则组

"AwsNetworkFirewallRuleGroup": { "Capacity": 600, "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1", "RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493", "RuleGroupName": "Stateless-1" "Description": "Example of a stateless rule group", "Type": "STATELESS", "RuleGroup": { "RulesSource": { "StatelessRulesAndCustomActions": { "CustomActions": [], "StatelessRules": [ { "Priority": 1, "RuleDefinition": { "Actions": [ "aws:pass" ], "MatchAttributes": { "DestinationPorts": [ { "FromPort": 443, "ToPort": 443 } ], "Destinations": [ { "AddressDefinition": "192.0.2.0/24" } ], "Protocols": [ 6 ], "SourcePorts": [ { "FromPort": 0, "ToPort": 65535 } ], "Sources": [ { "AddressDefinition": "198.51.100.0/24" } ] } } } ] } } } }

例子 — 有状态的规则组

"AwsNetworkFirewallRuleGroup": { "Capacity": 100, "RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest", "RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0", "RuleGroupName": "ExampleRuleGroup", "Description": "Example rule group", "Type": "STATEFUL", "RuleGroup": { "RuleSource": { "StatefulRules": [ { "Action": "PASS", "Header": { "Destination": "Any", "DestinationPort": "443", "Direction": "ANY", "Protocol": "TCP", "Source": "Any", "SourcePort": "Any" }, "RuleOptions": [ { "Keyword": "sid:1" } ] } ] } } }

AwsNetworkFirewallRuleGroup 属性

AwsNetworkFirewallRuleGroup 可能具有以下属性。

Capacity

可选

此规则组可以使用的最大操作资源数。

类型:整数

Description

可选

规则组的描述。

类型:字符串

最大长度:512

RuleGroup

可选

包含规则组详细信息。

Type: 对象

RuleGroup包含RulesSource对象和RuleVariables对象。

对于有状态的规则组,RulesSource可以包含RulesStringRulesSourceList,或者StatefulRules.

对于无状态规则组,RulesSource包含StatelessRulesAndCustomActions对象。StatelessRulesAndCustomActions包含CustomActionsStatelessRules.CustomActions是最多 25 个自定义操作对象的数组。StatelessRules是最多 25 个无状态规则对象的数组。

RuleGroup.RulesSource.RulesString

可选

有状态检查标准,在兼容 Suricata 的入侵防御系统 (IPS) 规则中提供。

类型:字符串

最大长度:20000

RuleGroupArn

可选

规则组的 ARN。

类型:字符串

RuleGroupId

可选

规则组的标识符。

类型:字符串

RuleGroupName

可选

规则组的描述性名称。

类型:字符串

Type

可选

规则组的类型。规则组可以是有状态的,也可以是无状态的。

类型:字符串

有效值STATEFUL | STATELESS

RulesSourceList

这些区域有:RulesSourceList对象包含域列表规则组的有状态检查标准。域列表规则组决定通过特定协议对特定域的访问权限。

RulesSourceList 可能具有以下属性。

GeneratedRulesType

可选

指示是允许还是拒绝对中列出的域的访问Targets.

类型:字符串

有效值ALLOWLIST | DENYLIST

Targets

可选

您要在流量流中检查的域。您可以提供完整域名,也可以使用 '.' 前缀作为通配符。例如,.example.com匹配以结尾的所有域名example.com.

类型:字符串数组

项目最多为:25

TargetTypes

可选

您要检查的协议。指定TLS_SNI对于 HTTPS。指定 HTTP_HOST对于 HTTP。您可以指定或。

Type: 字符串数组

有效数组值: TLS_SNI|HTTP_HOST

StatefulRules

StatefulRules包含最多 25 个对象的数组。每个对象包含一个 Suricata 规则规范。

中的每个条目StatefulRules可能具有以下属性:

Action

可选

定义当流量符合有状态规则标准时,Network Firewall 应使用流量流中的数据包执行什么操作。

类型:字符串

有效值PASS | DROP | ALERT

Header

可选

此规则的状态检查标准。

类型:对象

RuleOptions

可选

规则的其他选项。

类型:对象数组

最大对象:25

Header

这些区域有:Header对象提供有状态规则的检查标准。

Header 可能具有以下属性。

目标

可选

要检查的目标 IP 地址或地址范围(以 CIDR 表示法指示)。要与任意地址匹配,请指定 ANY

类型:字符串

DestinationPort

可选

要检查的目标端口。您可以指定单个端口,例如 1994 年。您还可以指定端口范围,例如 1990:1994。要与任意端口匹配,请指定 ANY

类型:字符串

Direction

可选

要检查的流量流的方向。

如果设置为 ANY,则检查将匹配从源到目的地以及从目的地到源的双向流量。

如果设置为 FORWARD,则检查仅匹配从源到目的地的流量。

类型:字符串

有效值FORWARD | ANY

Protocol

可选

要检查的协议。要检查所有协议,请使用IP.

类型:字符串

有效值: IP|TCP|UDP|ICMP|HTTP|FTP|TLS|SMB|DNS|DCERPC|SSH|SMTP|IMAP|MSN|KRB5|IKEV2|TFTP|NTP|DHCP

Source

可选

要检查的源 IP 地址或地址范围(以 CIDR 表示法指示)。要与任意地址匹配,请指定 ANY

类型:字符串

SourcePort

可选

要检查的源端口。您可以指定单个端口,例如 1994 年。您还可以指定端口范围,例如 1990:1994。要与任意端口匹配,请指定 ANY

类型:字符串

RuleOptions

RuleOptions为有状态规则提供了最多 25 个额外选项。规则选项可以是关键字或设置列表。

中的每个条目RuleOptions可能具有以下属性。

Keyword

可选

要查找的关键字。

类型:字符串

Settings

可选

设置列表。

类型:字符串数组

项目最多为:25

CustomActions

这些区域有:CustomActionsobject 是最多 25 个自定义操作定义的数组。自定义操作是用于无状态数据包处理的可选非标准操作。

中的每个条目CustomActions可能具有以下属性。

ActionDefinition

可选

自定义操作的定义。

类型:对象

ActionDefinition包含PublishMetricAction对象,它提供了向 CloudWatch 发布指标的标准。

PublishMetricAction包含Dimensions对象,其中包含最多 25 个 CloudWatch 自定义指标维度。

每个维度都显示在对象中。每个对象包含Value提供自定义维度值的属性。

ActionName

可选

自定义操作的描述性名称。

类型:字符串

StatelessRules

StatelessRules是最多 25 条无状态规则的数组。

中的每个规则StatelessRules可能具有以下属性。

Priority

可选

指示相对于无状态规则组中的所有规则,运行此规则的顺序。

类型:整数

最小值:1

最大值:65535

RuleDefinition

可选

提供无状态规则的定义。

类型:对象

RuleDefinition 可能具有以下属性。

Actions

可选

要对与无状态规则定义的任意匹配属性匹配的数据包执行的操作。您必须指定标准操作 (aws:passaws:drop,或者aws:forward_to_sfe)。然后,您可以添加自定义操作。

类型:字符串数组

项目最多为:25

MatchAttributes

可选

Network Firewall 的标准,用于检查无状态规则检查中的单个数据包。

类型:对象

MatchAttributes

MatchAttributes提供了无状态规则的标准。

MatchAttributes 可能具有以下属性。

DestinationPorts

可选

要指定要检查的目标端口的端口范围列表。

类型:对象数组

最大对象:25

中的每个条目DestinationPorts包含FromPort值和ToPort值以指定端口的范围。

Destinations

可选

要检查的目标 IP 地址和地址范围(以 CIDR 表示法指示)。

类型:对象数组

项目最多为:25

中的每个条目Destinations包含AddressDefinition属性,指定 IP 地址或 IP 地址块。

Protocols

可选

要检查的协议。

类型:整数组

项目最多为:25

最大值:255

SourcePorts

可选

要指定要检查的源端口的端口范围的列表。

类型:对象数组

最大对象:25

中的每个条目SourcePorts包含FromPort值和ToPort值以指定端口的范围。

Sources

可选

要检查的源 IP 地址和地址范围(以 CIDR 表示法指示)。

类型:对象数组

最大对象:25

中的每个条目Sources包含AddressDefinition属性,指定 IP 地址或 IP 地址块。

TcpFlags

可选

要检查的 TCP 标记和掩码。

类型:对象数组

最大对象:25

中的每个条目TcpFlags可能具有以下属性。

Flags

可选

定义为匹配数据包而必须设置的标记。必须设置列出的标志。不能设置未列出的标志。

类型:字符串数组

项目最多为:25

有效值: FIN|SYN|RST|PSH|ACK|URG|ECE|CWR

Masks

可选

检查中要考虑的标记集。如果未指定,则检查所有标志。

类型:字符串数组

项目最多为:25

有效值: FIN|SYN|RST|PSH|ACK|URG|ECE|CWR

RuleVariables

这些区域有:RuleVariables对象包含要在指定规则中使用的其他设置。

RuleVariables 可能具有以下属性。

IPSets

可选

以 CIDR 表示法指示的 IP 地址列表或地址范围。

类型:对象

IPSets包含Definition属性,最多包含 32 个 IP 地址和范围的数组。

PortSets

可选

端口范围列表。

类型:对象

PortSets包含Definition属性,最多包含 32 个端口范围的数组。