Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Network Firewall 控件

这些控制与 Network Firewall 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::NetworkFirewall::Firewall

Amazon Config 规则：netfw-multi-az-enabled

计划类型：已触发变更

参数：无

此控件评估通过管理的防火墙 Amazon Network Firewall 是否部署在多个可用区 (AZ) 上。如果防火墙仅部署在一个可用区中，则控制失败。

Amazon 全球基础设施包括多个 Amazon Web Services 区域。每个区域内的可用区位置在物理上是相互独立、相互隔离的，通过低延迟、高吞吐量且高冗余性的网络连接在一起。通过跨多个可用区部署 Network Firewall 防火墙，您可以在可用区之间平衡和转移流量，这可以帮助您设计高度可用的解决方案。

修复

[NetworkFirewall.2] 应启用 Network Firewall 日志记录

相关要求：NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：中

资源类型：AWS::NetworkFirewall::LoggingConfiguration

Amazon Config 规则：netfw-logging-enabled

计划类型：定期

参数：无

此控件检查是否已为 Amazon Network Firewall 防火墙启用日志记录。如果没有为至少一种日志类型启用日志记录或者日志记录目标不存在，则控制失败。

日志记录可帮助您保持防火墙的可靠性、可用性和性能。在 Network Firewall 中，日志记录为您提供有关网络流量的详细信息，包括有状态引擎接收数据包流的时间、有关数据包流的详细信息以及针对数据包流采取的任何有状态规则操作。

修复

要启用防火墙日志记录，请参阅《Amazon Network Firewall 开发人员指南》中的更新防火墙的日志记录配置。

[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则：netfw-policy-rule-group-associated

计划类型：已触发变更

参数：无

此控件检查 Network Firewall 策略是否关联了任何状态或无状态规则组。如果未分配无状态或有状态规则组，则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon Virtual Private Cloud（Amazon VPC）中的流量。配置无状态和有状态规则组有助于筛选数据包和流量，并定义默认流量处理。

修复

要向 Network Firewall 策略添加规则组，请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙策略。有关创建和管理规则组的信息，请参阅 Amazon Network Firewall中的规则组。

[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则：netfw-policy-default-action-full-packets

计划类型：已触发变更

参数：

此控件检查 Network Firewall 策略中对完整数据包的默认无状态操作是丢弃还是转发。如果选择了 Drop 或 Forward，则控制通过，如果选择 Pass 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。

修复

要变更您的防火墙策略，请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作，请选择编辑。然后，选择丢弃或转发到有状态的规则组作为操作。

[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则：netfw-policy-default-action-fragment-packets

计划类型：已触发变更

参数：

此控件检查 Network Firewall 策略中对碎片数据包的默认无状态操作是丢弃还是转发。如果选择了 Drop 或 Forward，则控制通过，如果选择 Pass 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。

修复

要变更您的防火墙策略，请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作，请选择编辑。然后，选择丢弃或转发到有状态的规则组作为操作。

[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空

相关要求：NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)。

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::RuleGroup

Amazon Config 规则：netfw-stateless-rule-group-not-empty

计划类型：已触发变更

参数：无

此控件检查中的无状态规则组是否 Amazon Network Firewall 包含规则。如果规则组中没有规则，则控制失败。

规则组包含的规则定义防火墙如何处理您的 VPC 中的流量。当防火墙策略中存在空的无状态规则组时，可能会给人一种规则组将处理流量的印象。但是，当无状态规则组为空时，它不处理流量。

修复

要将规则添加到 Network Firewall 规则组，请参阅 Amazon Network Firewall 开发人员指南中的更新有状态规则组。在防火墙详细信息页面上，对于无状态规则组，选择编辑以添加规则。

[NetworkFirewall.7] 应标记 Network Firewall 防火墙

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::NetworkFirewall::Firewall

Amazon Config 规则：tagged-networkfirewall-firewall（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 Amazon Network Firewall 防火墙是否具有参数中定义的特定密钥的标签requiredTagKeys。如果防火墙没有任何标签密钥或者没有在参数中指定的所有密钥，则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果防火墙未使用任何密钥标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 Amazon 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 Amazon？ 在 IAM 用户指南中。

修复

要向 Network Firewall 防火墙添加标签，请参阅《Amazon Network Firewall 开发者指南》中的标记 Amazon Network Firewall 资源。

[NetworkFirewall.8] 应标记 Network Firewall 防火墙策略

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则：tagged-networkfirewall-firewallpolicy（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 Amazon Network Firewall 防火墙策略是否具有参数中定义的特定密钥的标签requiredTagKeys。如果防火墙策略没有任何标签密钥或参数中没有指定的所有密钥，则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果防火墙策略未使用任何密钥进行标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 Amazon 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 Amazon？ 在 IAM 用户指南中。

修复

要向 Network Firewall 策略添加标签，请参阅Amazon Network Firewall 开发者指南中的标记 Amazon Network Firewall 资源。

[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)。

类别：保护 > 网络安全

严重性：中

资源类型：AWS::NetworkFirewall::Firewall

Amazon Config 规则：netfw-deletion-protection-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon Network Firewall 防火墙是否启用了删除保护。如果未为防火墙启用删除保护，则控制失败。

Amazon Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务，可让您检查和过滤进出虚拟私有云 (VPC) 或虚拟私有云 (VPC) 之间的流量。删除保护设置可防止意外删除防火墙。

修复

要在现有 Network Firewall 防火墙上启用删除保护，请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙。对于变更保护，选择启用。您也可以通过调用 UpdateFirewallDeleteProtectionAPI 并将该DeleteProtection字段设置为来true启用删除保护。