Veröffentlicht am: May 4, 2023
Heute kündigt AWS die Unterstützung der Aktion „Ablehnen“ in der Stream-Ausnahmerichtlinie der AWS Network Firewall an, um die Leistung latenzempfindlicher Anwendungen zu verbessern. AWS Network Firewall ist ein verwalteter Firewall-Service, der die einfache Implementierung wichtiger Netzwerkschutzmaßnahmen für alle Ihre Amazon VPCs ermöglicht.
Bisher konnten Sie in der Stream-Ausnahmerichtlinie die Aktionen „Abbrechen“ oder „Fortfahren“ konfigurieren, um festzulegen, wie die Netzwerk-Firewall den Datenverkehr behandeln soll, wenn eine Netzwerkverbindung mitten im Stream unterbrochen wird. Die Aktion „Verwerfen“ bedeutet, dass die Netzwerk-Firewall den gesamten nachfolgenden Datenverkehr in der Sitzung, der die Firewall passiert, unterbricht. Das bedeutet, dass die TCP-Sitzung geöffnet bleibt, bis das TCP-Timeout abgelaufen ist. Die Aktion „Fortfahren“ bedeutet, dass die Netzwerk-Firewall den Datenverkehr zwischen den verfügbaren Back-End-Firewall-Hosts neu verteilt und weiterhin Firewallregeln ohne Kontext für die Sitzungsinitialisierung anwendet. Dies wirkt sich auf das Verhalten der Regeln aus, die vom TCP-Sitzungskontext abhängen. Ab heute können Sie die Aktion „Ablehnen“ in der Stream-Ausnahmerichtlinie konfigurieren, um Midstream-TCP-Verbindungen zu verarbeiten. Wenn ein Backend-Firewallhost eine Midstream-TCP-Verbindung erkennt, verwirft er das Paket und sendet einen TCP-Reset (RST), um Absender und Empfänger darüber zu informieren, dass die TCP-Verbindung geschlossen wurde. Der Absender kann dann sofort eine neue TCP-Verbindung aufbauen, ohne auf einen TCP-Timeout zu warten.
Diese Funktion ist jetzt in allen AWS-Regionen verfügbar, in denen Network Firewall angeboten wird. Für die Nutzung dieser neuen AWS-Netzwerk-Firewall-Funktion fallen keine zusätzlichen Gebühren an. Informationen zu den ersten Schritten mit der AWS Network Firewall finden Sie auf der Produktseite und in der Servicedokumentation.