发布于: May 4, 2023
今天,AWS 宣布 AWS Network Firewall 支持在流例外策略中配置“拒绝”操作,以提高延迟敏感型应用程序的性能。AWS Network Firewall 是一项托管式防火墙服务,可使您轻松地为所有 Amazon VPC 部署基本网络保护。
以前,您可以在流异常策略中配置“删除”或“继续”操作,以指定网络连接在中游中断时 Network Firewall 应如何处理流量。“删除”操作意味着 Network Firewall 将删除会话中穿过防火墙的所有后续流量。这意味着 TCP 会话将保持打开状态,直到 TCP 超时到期。“继续”操作意味着 Network Firewall 重新平衡可用后端防火墙主机之间的流量,并在没有会话初始化上下文的情况下继续应用防火墙规则。这会影响依赖于 TCP 会话上下文的规则的行为。即日起,您可以在流异常策略中配置“拒绝”操作,以便处理中游 TCP 连接。当后端防火墙主机检测到中游 TCP 连接时,它会删除数据包并发送 TCP 重置 (RST),以通知发送方和接收方 TCP 连接已关闭。然后,发送方便可立即建立新的 TCP 连接,而无需等待 TCP 超时。