AWS Network Firewall 增加了对 TCP 流量拒绝操作的支持

AWS Network Firewall 现在支持将拒绝作为防火墙规则操作，因此您可以提高延迟敏感型应用程序的性能并改善内部安全操作。

AWS Network Firewall 的灵活规则引擎使您可以定义防火墙规则，从而实现网络流量的精细化控制。之前，您可以配置状态规则以传递、丢弃网络流量或发出警报。配置丢弃操作后，防火墙会丢弃流量，但不向源发件人发送任何响应。这会影响 TCP 连接，因为会话保持打开状态，直到超过存活时间阈值。如果您想了解丢弃数据包的原因，则需要花费更多时间和精力来完成 traceroute 测试或查看日志。从今天开始，AWS Network Firewall 将允许您配置状态规则，并在该规则与 TCP 流量匹配时应用拒绝操作。防火墙丢弃数据包并发送 TCP 重置 (RST) 以通知发送方 TCP 连接失败。您可以使用默认操作顺序将拒绝操作应用于防火墙规则，也可以使用严格的规则排序方法设置精确的顺序。

使用这项新的 AWS Network Firewall 功能不收取额外费用，但任何额外的日志记录费用均由您承担。此功能已在 AWS Network Firewall 可用的所有商业 AWS 区域和 AWS GovCloud（美国）区域推出。AWS Network Firewall 是一项托管式防火墙服务，可使您轻松地为所有 Amazon VPC 部署基本网络保护。该服务将会随网络流量自动扩展，以提供高可用性保护，而无需设置或维护底层基础设施。要开始使用 AWS Network Firewall，请参阅 AWS Network Firewall 产品页面和服务文档。