投稿日: May 4, 2023
本日、AWS Network Firewall のストリーム例外ポリシーが、拒否アクションをサポートしました。これにより、レイテンシーの影響を受けやすいアプリケーションのパフォーマンスが向上します。AWS Network Firewall は、すべての Amazon VPC に不可欠なネットワーク保護を簡単にデプロイできるようにする、マネージド型ファイアウォールサービスです。
これまでは、ストリーム例外ポリシーで Drop または Continue アクションを設定することで、ネットワーク接続が途中で切断された場合に Network Firewall がトラフィックを処理する方法を指定できました。Drop アクションでは、ファイアウォールを通過するセッションの後続のトラフィックを、Network Firewall がすべてドロップします。つまり、TCP タイムアウトが切れるまで TCP セッションが開かれたままになります。Continue アクションでは、Network Firewall が、使用できるバックエンドファイアウォールのホスト間のトラフィックを再調整し、セッション初期化のコンテキストなしに、引き続きファイアウォールルールを適用します。これは、TCP セッションのコンテキストに依存するルールの動作に影響します。本日より、ストリーム例外ポリシーで拒否アクションを設定して、ミッドストリーム TCP 接続を処理できるようになりました。バックエンドファイアウォールのホストがミッドストリーム TCP 接続を検出すると、パケットをドロップして TCP リセット (RST) を送信し、TCP 接続が切断されたことを送信者と受信者に通知します。送信者は、TCP タイムアウトを待つことなく、すぐに新しい TCP 接続を確立できます。