AWS Network Firewall 功能

使用深度数据包检查（DPI）部署有状态检查，以根据源地址、协议类型和流量方向来评估流量。灵活的规则引擎支持基于源/目标 IP、端口和协议来配置规则，支持通用协议筛选，而没有端口规范要求。

通过对未加密流使用 HTTP 标头检查以及对加密流量使用服务器名称指示（SNI）筛选，来筛选入站和出站 Web 流量。使用完全限定域名（FQDN）筛选，应用基于域的控制，以管理对特定网站和服务的访问。

部署明确的转发代理功能，以对客户端进行身份验证，并通过全面的检查和筛选来控制出站互联网流量。AWS Network Firewall 代理位于您的工作负载与互联网之间，用于防止数据泄露、筛选域和检查 HTTP 标头。

实施传输层安全性协议（TLS）检查，以分析您的 VPC 内的加密流量。原生 TLS 检查在防火墙实例内进行，可在支持对入站和出站通信进行流量分析的同时维护数据隐私。

使用 IP 到国家/地区映射，应用基于位置的流量控制。根据地理区域创建允许或拒绝流量的规则，以帮助满足数据主权要求和实施区域访问策略。

在 VPC 边界配置双向流量控制。对传入流量应用精细规则并监控出站通信，以帮助满足合规性要求并维护数据治理。

使用基于签名的检测，应用网络和应用层控制。IPS 根据已知签名来评估流量模式，分析字节序列和数据包特征以识别潜在的安全事件。AWS Network Firewall 包含 AWS 托管的威胁签名和恶意域名规则组，无需额外付费。

使用 Amazon 全球威胁情报实施自动控制。AWS 托管规则使用支持 Amazon GuardDuty 的相同威胁情报来识别和应对主动威胁，从而帮助在您的基础设施中维护一致的安全控制。

配置自定义规则以实现您的特定安全要求，或者利用 AWS 的预构建规则。Suricata 兼容性使您能够从活跃的开源安全社区导入 IDS/IPS 签名，同时保持根据需要更新和自定义控制的灵活性。

许多 AWS 合作伙伴通过 AWS Marketplace 提供托管规则，并且提供自动更新的安全规则，可以将这些规则直接部署在您的 AWS Network Firewall 策略中。

使用简单的 Transit Gateway 集成来检查 VPC 之间的东西向流量，无需管理单独的检查 VPC。实施集中式安全策略，以在降低架构复杂性的同时监控和控制内部网络通信。

使用单个防火墙实例在 VPC 端点之间应用统一的安全控制。在集中进行安全管理的同时，对 VPC 间的流量维护一致的策略执行。

通过内置冗余和 AWS Network Firewall 服务水平协议确保一致的保护。当流量模式发生变化时，体验每个可用区的无缝扩展。系统会自动调整容量以维护性能，同时优化成本，无需手动扩缩操作。

通过将多个 VPC 端点连接到单个防火墙实例，最大限度地提高效率。通过整合多个 VPC 的安全管理，降低运营开销和成本。这种灵活的架构支持不同的部署模式，同时可确保在整个 AWS 环境中执行一致的策略。

使用 CloudWatch 通过详细的警报和流日志记录来监控网络活动。通过警报日志来跟踪规则匹配和会话数据，而流日志提供双向流量状态信息。将日志存储在 Amazon S3、Kinesis 或 CloudWatch 中，以便与现有的分析工作流程集成。

通过集中管理整个 AWS 组织中的策略来简化安全操作。通过分层策略管理，在多个账户、应用程序和 VPC 之间部署一致的规则和控制。自动合规性监控和补救功能有助于随着基础设施的发展来维护安全标准，同时为整个组织的策略遵守情况提供清晰的可见性。

使用与 AWS 服务的原生集成来实施网络安全控制。使用 Transit Gateway 实现集中式架构，使用 VPC 进行流量路由，使用 IAM 进行访问管理，以及使用 CloudWatch 进行运营监控。

通过丰富的合作伙伴解决方案和集成网络来增强安全功能。与领先的安全合作伙伴建立联系，以进行策略编排和威胁情报馈送，同时维护现有的安全投资。将安全事件和日志数据导出到您首选的 SIEM 解决方案，从而在整个基础设施中进行全面的安全分析。请参阅 AWS Network Firewall 合作伙伴的完整列表