Amazon Network Firewall 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Network Firewall 策略

您可以使用Amazon Firewall Manager网络防火墙策略管理Amazon Network Firewall 防火墙为 Amazon Virtual Private Cloud 提供支持VPC横向组织在Amazon Organizations. 您可以将集中控制的防火墙应用于整个组织或帐户和 VPC 的选定子集。

Network Firewall 为 VPC 中的公有子网提供网络流量筛选保护。当您应用 Firewall Manager 策略时,针对策略范围内的每个账户和 VPC,Firewall Manager 会创建 Network Firewall,并将防火墙终端节点部署到 VPC 子网,以筛选网络流量。

注意

Firewall Manager Network Firewall 策略是用于管理组织中 VPC 的 Network Firewall 保护的 Firewall Manager 策略。

Network Firewall 保护在称为防火墙策略的 Network Firewall 服务的资源中指定。

有关使用 Network Firewall 的信息,请参阅。Amazon Network Firewall开发人员指南.

以下各节介绍了使用 Firewall Manager Network Firewall 策略的要求,并介绍了这些策略的工作原理。有关创建策略的过程,请参阅。为 Amazon Network Firewall 创建Amazon Firewall Manager策略.

您必须启用资源共享

Network Firewall 策略跨组织中的帐户共享 Network Firewall 规则组。要使此功能起作用,您必须启用Amazon Organizations. 有关如何启用资源共享的信息,请参阅。Network Firewall 和 DNS 防火墙策略的资源共享.

您必须定义 Network Firewall 规则组

指定新的 Network Firewall 策略时,定义的防火墙策略与使用Amazon Network Firewall直接。您可以指定要添加的无状态规则组、默认无状态操作和有状态规则组。您的规则组必须已存在于 Firewall Manager 管理员帐户中,才能将它们包含在策略中。有关创建 Network Firewall 规则组的信息,请参阅。Amazon Network Firewall规则组.

Firewall Manager 如何创建防火墙端点

根据您配置策略的方式,Firewall Manager 会为范围内的每个 VPC 创建单个防火墙终端节点或多个防火墙终端节点。

  • 对于多个防火墙终端节点,Firewall Manager 会在每个可用区域中部署一个防火墙终端节点,其中您的子网具有 Internet 网关或路由表中的 Firewall Manager 创建的防火墙终端节点路由。这是 Network Firewall 策略的默认选项。

  • 对于单个防火墙终端节点,Firewall Manager 会在任何具有 Internet 网关路由的子网中的单个可用区域中部署防火墙终端节点。使用此选项,其他区域中的流量需要跨越区域边界才能被防火墙过滤。

注意

对于这两个选项,必须有一个与路由表相关联的子网,该路由表中包含 IPv4/PrefixList 路由。Firewall Manager 不检查任何其他资源。

Firewall Manager 如何管理防火墙子网

防火墙子网是 Firewall Manager 为筛选网络流量的防火墙终端节点创建的 VPC 子网。每个 Firewall 终端节点都必须部署在专用 VPC 子网中。Firewall Manager 在策略范围内的每个 VPC 中至少创建一个防火墙子网。

Firewall Manager 仅在具有具有 Internet 网关路由的子网的可用区域中创建防火墙子网,或者具有通往 Firewall Manager 为其策略创建的防火墙终端节点的路由的子网。有关更多信息,请参阅 。VPC 和子网中的Amazon VPC User Guide.

首次定义 Network Firewall 策略时,您可以选择以下方法之一,以便 Firewall Manager 在范围内的每个 VPC 中管理防火墙子网。以后您不能更改此选项。

  • 为每个具有公有子网的可用区部署防火墙子网。这是默认行为。这提供了流量过滤保护的高可用性。

  • 在一个可用区中部署单个防火墙子网。通过此选择,Firewall Manager 可在 VPC 中识别具有最多公有子网的区域,并在此处创建防火墙子网。单个防火墙终端节点筛选 VPC 的所有网络流量。这可以降低防火墙成本,但它不具有高可用性,并且需要来自其他区域的流量跨区域边界才能进行筛选。

您可以提供 VPC CIDR 块供 Firewall Manager 用于防火墙子网,也可以将防火墙终端节点地址的选择留给 Firewall Manager 来确定。

  • 如果您不提供 CIDR 块,Firewall Manager 会查询您的 VPC 以获取要使用的可用 IP 地址。

  • 如果您提供 CIDR 块列表,Firewall Manager 将仅在您提供的 CIDR 块中搜索新子网。您必须使用 /28 CIDR 块。对于 Firewall Manager 创建的每个防火墙子网,它会浏览您的 CIDR 阻止列表,并使用它发现适用于可用区和 VPC 并具有可用地址的第一个防火墙子网。

如果 Firewall Manager 无法在可用区中创建所需的防火墙子网,则会将子网标记为不符合策略。当区域处于此状态时,区域的流量必须跨越区域边界,才能由另一个区域中的终端节点进行筛选。这与单一防火墙子网方案类似。

Firewall Manager 如何管理 Network Firewall 资源

在 Firewall Manager 中定义策略时,您可以提供标准Amazon Network Firewall防火墙策略。添加无状态和有状态的 Network Firewall 规则组,并为不匹配任何无状态规则的数据包指定默认操作。有关使用防火墙策略的信息,请参阅Amazon Network Firewall,请参阅Amazon Network Firewall防火墙策略.

保存 Network Firewall 策略时,Firewall Manager 会在策略范围内的每个 VPC 中创建防火墙和防火墙策略。Firewall Manager 通过连接以下值来命名这些 Network Firewall 资源:

  • 固定字符串,FMManagedNetworkFirewall或者FMManagedNetworkFirewallPolicy,具体取决于资源类型。

  • Firewall Manager 策略名称。这是您在创建策略时分配的名称。

  • Firewall Manager 策略 ID。这是AmazonFirewall Manager 策略的资源 ID。

  • 亚马逊 VPC ID。这是AmazonFirewall Manager 创建防火墙和防火墙策略的 VPC 的资源 ID。

下面显示了由 Firewall Manager 管理的防火墙的示例名称:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

下面显示了一个示例 Firewall 策略名称:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

创建策略后,VPC 中的帐户所有者无法覆盖防火墙策略设置或规则组,但他们可以将规则组添加到 Firewall Manager 创建的防火墙策略中。

Firewall Manager 如何管理和监控策略的 VPC 路由表

当 Firewall Manager 创建防火墙终端节点时,它还会为它们创建 VPC 路由表。但是,Firewall Manager 不管理您的 VPC 路由表。您必须配置 VPC 路由表,以将网络流量定向到 Firewall Manager 创建的防火墙终端节点。使用 Amazon VPC 入口路由增强功能,更改路由表,以便通过新的防火墙终端节点路由流量。您的更改必须在要保护的子网和外部位置之间插入防火墙终端节点。您需要执行的确切路由取决于您的体系结构及其组件。

有关如何管理 VPC 的路由表的信息,请参阅。路由表中的Amazon Virtual Private Cloud 用户指南. 有关为 Network Firewall Manager 的路由表管理信息,请参阅。路由表配置Amazon Network Firewall中的Amazon Network Firewall开发人员指南.

当您启用策略监控时,Firewall Manager 会持续监控 VPC 路由配置,并提醒您绕过该 VPC 的防火墙检查的流量。如果子网具有防火墙终端节点路由,则 Firewall Manager 将查找以下路由:

  • 将流量发送至 Network Firewall 终结点的路由。

  • 用于将流量从 Network Firewall 终端节点转发到 Internet 网关的路由。

  • 从 Internet 网关到 Network Firewall 终结点的入站路由。

  • 路由返回子网。

如果子网具有 Network Firewall 路由,但 Network Firewall 和您的 Internet 网关路由表中存在非对称路由,则 Firewall Manager 会将子网报告为不合规。Firewall Manager 也将检测到Blackhole路由到 Firewall Manager 创建的防火墙路由表中的 Internet 网关,以及子网的路由表,并将其报告为不合规。Network Firewall 子网路由表和 Internet 网关路由表中的其他路由也被报告为不合规。根据违规类型,Firewall Manager 建议采取修正措施,使路由配置符合要求。Firewall Manager 并非在所有情况下都提供建议。例如,如果您的客户子网具有在 Firewall Manager 之外创建的防火墙终端节点,则 Firewall Manager 不建议采取补救措施。

注意
  • Firewall Manager 不建议对非 IPv4 路由(如 IPv6 和前缀列表路由)进行修正操作。

  • 使用DisassociateRouteTableAPI 调用可能需要最多 12 小时来检测。

  • Firewall Manager 为包含防火墙终端节点的子网创建 Network Firewall 路由表。Firewall Manager 假定此路由表仅包含有效的互联网网关和 VPC 默认路由。此路由表中的任何额外路由或无效路由均被视为不符合要求。

配置 Firewall Manager 策略时,如果选择显示器模式时,Firewall Manager 会提供有关资源违规和修正详细信息。您可以使用这些建议的修正操作来修复路由表中的路由问题。如果选择Off模式时,Firewall Manager 不会监视您的路由表内容。使用此选项,您可以自行管理 VPC 路由表。有关这些资源违规的更多信息,请参阅。查看符合性信息Amazon Firewall Manager策略.

警告

如果选择显示器WITER Amazon Network Firewall路由配置创建策略时,您无法为该策略关闭该策略的策略。但是,如果您选择Off,您可以稍后将其启用。