AWS Network Firewall 功能

AWS Network Firewall 提供內建冗餘，以確保所有流量都經過一致的檢查和監控。AWS Network Firewall 提供服務水準協議，承諾正常執行時間為 99.99%。AWS Network Firewall 可讓您依據流量負載自動擴展或縮減防火牆容量，以保持穩定、可預測的效能，從而最大限度地降低成本。

有狀態防火牆會考慮流量的前後關聯，以便更精細地執行政策，例如根據來源位址或通訊協定類型丟棄封包。此有狀態防火牆的比對條件與 AWS Network Firewall 的無狀態檢測功能相同，並新增了流量方向的比對設定。AWS Network Firewall 的彈性規則引擎讓您能夠根據來源/目的地 IP、來源/目的地連接埠和通訊協定編寫數千則防火牆規則。AWS Network Firewall 會在沒有任何連接埠規格的情況下篩選一般通訊協定，而不僅僅是 TCP/UDP 流量篩選。

AWS Network Firewall 支援對未加密的 Web 流量進行傳入和傳出 Web 篩選。對於加密的 Web 流量，伺服器名稱指示 (SNI) 用於封鎖對特定網站的存取。SNI 是 Transport Layer Security (TLS) 的擴展，它在流量中保持未加密，並指示用戶端嘗試透過 HTTPS 存取的目的地主機名稱。此外，AWS Network Firewall 還可以篩選完全合格網域名稱 (FQDN)。

AWS Network Firewall 的入侵防護系統 (IPS) 提供主動流量檢測以及即時網路和應用程式層保護，可防止漏洞遭利用和暴力攻擊。其基於簽名的偵測引擎會根據位元組序列或封包異常等屬性，將網路流量模式與已知威脅簽章進行比對。

提醒日誌特定於規則，並提供有關已觸發的規則和觸發該規則的特定工作階段的其他資料。流量日誌提供通過防火牆之所有流量的狀態資訊，每個方向一行。AWS Network Firewall 流量日誌可以原生儲存在 Amazon S3、Amazon Kinesis 和 Amazon CloudWatch 中。

AWS Firewall Manager 是一項安全管理服務，可用於跨 AWS Organizations 中的應用程式、VPC 和帳戶集中部署和管理安全政策。AWS Firewall Manager 可以將 AWS Network Firewall 規則群組整理成政策，您可以在整個基礎架構中部署這些政策，從而以一致、分層的方式擴展實作規模。AWS Firewall Manager 提供跨帳戶的政策合規性彙總檢視，並自動執行修復程序。建立新帳戶、資源和網路元件時，Firewall Manager 可透過強制執行一組通用的防火牆政策，輕鬆讓它們符合法規要求。

AWS Network Firewall 可讓客戶執行源自內部自訂規則開發 (內部) 或者第三方供應商或開放原始碼平台 (外部) 的與 Suricata 相容的規則。

AWS Network Firewall 與 AWS 合作夥伴整合，可與中央第三方政策協同運作整合並將日誌匯出到分析解決方案。AWS Network Firewall 支援熱門的託管威脅情報來源，適合喜歡利用現有託管規則提供者的客戶。AWS Network Firewall 可以插入第三方政策協同運作解決方案，以集中管理混合或多防火牆供應商架構。為了提高可見性，AWS Network Firewall 日誌和安全事件資訊可傳送至第三方分析解決方案，例如安全資訊和事件管理 (SIEM) 軟體。查看 AWS Network Firewall 合作夥伴的完整清單

AWS Network Firewall 支援 Transport Layer Security (TLS) 檢查，使得客戶能夠透過提高加密流量的可見性來加強 AWS 上的安全態勢。您可以使用 AWS Network Firewall 解密 TLS 工作階段，並檢查傳入和傳出 Amazon 虛擬私有雲端 (VPC) 流量，而無需部署或管理任何額外的網路安全基礎架構。加密和解密在相同的防火牆執行個體上原生，因此流量不會超過任何網路邊界。