AWS Network Firewall 功能

部署具備深度封包檢測 (DPI) 功能的狀態檢測，根據來源地址、通訊協定類型和流量方向評估流量。彈性的規則引擎支援根據來源/目的地 IP、連接埠和通訊協定來設定規則，並支援常見通訊協定的篩選，無需指定連接埠。

使用 HTTP 標頭檢測來篩選傳入與傳出的未加密 Web 流量，並使用伺服器名稱指示 (SNI) 篩選功能處理加密流量。使用完整網域名稱 (FQDN) 篩選功能套用以網域為基礎的控制，管理特定網站與服務的存取。

部署明確轉發 Proxy 功能來驗證用戶端，並透過全面的檢測與篩選控制傳出的網際網路流量。AWS Network Firewall Proxy 位於您的工作負載與網際網路之間，可防止資料外洩、篩選網域並檢測 HTTP 標頭。

實作 Transport Layer Security (TLS) 檢測，以分析 VPC 內的加密流量。原生 TLS 檢測會在防火牆執行個體內進行，在分析傳入與傳出通訊流量的同時，也能維護資料隱私權。

使用 IP 對應國家/地區的功能套用以位置為基礎的流量控制。建立規則以允許或拒絕特定地理區域的流量，協助滿足資料主權要求並實作區域存取政策。

在 VPC 邊界設定雙向流量控制。針對傳入流量套用精細規則並監控傳出通訊，協助滿足合規要求並維持資料治理。

使用特徵碼偵測技術，套用網路層與應用層控制。IPS 會根據已知的特徵碼評估流量模式，分析位元組序列與封包特徵，以識別潛在的安全事件。AWS Network Firewall 包含 AWS 受管威脅特徵碼與惡意網域名稱規則群組，無需額外付費。

使用 Amazon 全球威脅智慧實作自動化控制。AWS 受管規則運用支援 Amazon GuardDuty 的相同威脅智慧來識別並回應主動威脅，協助您在基礎設施中維持一致的安全控制。

設定自訂規則以實作您的特定安全需求，或運用 AWS 預先建立的規則。Suricata 相容性讓您能從活躍的開放原始碼社群匯入 IDS/IPS 特徵碼，同時保留視需要更新與自訂控制的彈性。

許多 AWS 合作夥伴透過 AWS Marketplace 提供受管規則，讓您可以直接在 AWS Network Firewall 政策中部署自動更新的安全規則。

使用簡易的 Transit Gateway 整合來檢測 VPC 之間的東西向流量，無需管理獨立的檢測 VPC。實作集中式安全政策以監控並控制內部網路通訊，同時降低架構複雜度。

使用單一防火牆執行個體，在 VPC 端點間套用一致的安全控制。維持 VPC 間流量的一致政策執行，同時集中安全管理。

透過內建備援機制與 AWS Network Firewall 服務水準協議確保一致的保護能力。隨著流量模式改變，體驗依每個可用區域進行的無縫擴展。系統會自動調整容量以維持效能並最佳化成本，消除手動擴展作業的需求。

將多個 VPC 端點連接至單一防火牆執行個體，將效率最大化。透過跨多個 VPC 的整合式安全管理，降低營運負荷與成本。此彈性架構支援多樣化的部署模式，同時確保整個 AWS 環境中的政策執行一致性。

透過 CloudWatch 詳細的警示與流量記錄來監控網路活動。您可以透過警示日誌追蹤規則相符項目與工作階段資料，並利用流量日誌取得雙向流量狀態資訊。將日誌儲存於 Amazon S3、Kinesis 或 CloudWatch，以便與現有分析工作流程整合。

集中管理整個 AWS 組織的政策，藉此簡化安全作業。透過階層式政策管理，在多個帳戶、應用程式和 VPC 之間部署一致的規則與控制。自動化合規監控與補救功能可協助您在基礎設施成長時維持安全標準，同時清楚呈現整個組織的政策遵循狀況。

運用與 AWS 服務的原生整合功能，實作網路安全控制。使用 Transit Gateway 建立集中式架構、使用 VPC 進行流量路由、透過 IAM 進行存取管理，並利用 CloudWatch 進行營運監控。

透過豐富的合作夥伴解決方案與整合網路，增強安全功能。連結領先的安全合作夥伴以取得政策協同運作與威脅智慧摘要，同時保留現有的安全投資。將安全事件與日誌資料匯出至您偏好的 SIEM 解決方案，藉此對整個基礎設施進行全面安全分析。查看 AWS Network Firewall 合作夥伴的完整清單