Amazon Network Firewall 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
为Network Firewall 策略配置日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Network Firewall 策略

您可以使用Amazon Firewall ManagerNetwork Firewall策略要管理Amazon Network Firewall 防火墙适用于您的Amazon Virtual Private CloudVPC在处登录组织在Amazon Organizations. 您可以将集中控制的防火墙应用于整个组织或部分账户和 VPC。

Network Firewall 为 VPC 中的公有子网提供网络流量过滤保护。当您应用 Firewall Manager 策略时,对于策略范围内的每个账户和 VPC,Firewall Manager 会创建Network Firewall 防火墙并将防火墙终端部署到 VPC 子网以过滤网络流量。

注意

Firewall Manager Network Firewall 策略是Firewall Manager 策略,用于管理组织中 VPC 的Network Firewall 保护。

Network Firewall 保护是在Network Firewall 服务中的资源中指定的,这些资源称为防火墙策略。

有关使用Network Firewall 的信息,请参阅Amazon Network Firewall开发人员指南.

以下各节介绍了使用 Firewall Manager Network Firewall 策略的要求并描述了这些策略的工作原理。有关创建策略的过程,请参见为 Amazon Network Firewall 创建Amazon Firewall Manager策略.

必须启用资源共享

Network Firewall 策略在组织中的账户之间共享Network Firewall 规则组。要做到这一点,你必须为启用资源共享Amazon Organizations. 有关如何启用资源的共享的信息,请参阅Network Firewall 和 DNS 防火墙策略的资源共享.

必须定义Network Firewall 规则组

指定新的Network Firewall 策略时,定义防火墙策略的方式与使用时相同Amazon Network Firewall直接地。您可以指定要添加的无状态规则组、默认的无状态操作和有状态的规则组。您的规则组必须已存在于 Firewall Manager 管理员帐户中,才能将其包含在策略中。有关创建Network Firewall 规则组的信息,请参阅Amazon Network Firewall规则组.

Firewall Manager 如何创建防火墙端点

这些区域有:部署模型在您的策略中决定Firewall Manager 如何创建防火墙端点。有两种部署模式可供选择,即分布式部署模型,还有集中部署模型

  • 分布式部署模型-使用分布式部署模式,Firewall Manager 为策略范围内的每个 VPC 创建终端节点。您可以通过指定要在哪些可用区域中创建防火墙端点来自定义终端节点的位置,或者Firewall Manager 可以在具有公有子网的可用区中自动创建终端节点。如果您手动选择可用区,则可以选择限制每个可用区允许的 CIDR 集。如果您决定让 Firewall Manager 自动创建端点,则还必须指定该服务是在您的 VPC 中创建单个端点还是多个防火墙端点。

    • 对于多个防火墙端点,Firewall Manager 会在每个可用区中部署一个防火墙端点,在这些可用区中,路由表中有一个带有 Internet 网关或Firewall Manager 创建的防火墙端点路由的子网。这是Network Firewall 策略的默认选项。

    • 对于单个防火墙端点,Firewall Manager 会在任何具有 Internet 网关路由的子网中的单个可用区中部署防火墙端点。使用此选项时,其他区域中的流量需要跨越区域边界才能被防火墙过滤。

      注意

      对于这两个选项,必须有一个与其中包含 IPv4/PrefixList 路由的路由表关联的子网。Firewall Manager 不检查任何其他资源。

  • 集中部署模式-使用集中部署模式,Firewall Manager 在内部创建一个或多个防火墙端点检查 VPC. 检查 VPC 是中央 VPC,Firewall Manager 在其中启动您的终端节点。使用集中部署模式时,还要指定要在哪些可用区中创建防火墙终端节点。您在创建策略后无法更改检查 VPC。要使用不同的检查 VPC,您必须创建新的策略。

如果您更改可用区域列表,Firewall Manager 将尝试清理过去创建但目前不在策略范围内的任何端点。只有在没有引用范围外端点的路由表路由时,Firewall Manager 才会移除端点。如果 Firewall Manager 发现无法删除这些端点,它将把防火墙子网标记为不合规,并将继续尝试删除该端点,直到可以安全删除为止。

Firewall Manager 如何管理您的防火墙子网

防火墙子网是Firewall Manager 为过滤网络流量的防火墙终端节点创建的 VPC 子网。每个防火墙端点都必须部署在专用 VPC 子网中。Firewall Manager 在策略范围内的每个 VPC 中至少创建一个防火墙子网。

对于使用分布式部署模型和自动端点配置的策略,Firewall Manager 仅在具有带有 Internet 网关路由的子网的子网的可用区中创建防火墙子网,或者子网具有通往 Firewall Manager 为其策略创建的防火墙端点的路由。有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 和子网

对于使用分布式或集中式模式的策略,在其中指定 Firewall Manager 在哪个可用区中创建防火墙端点,Firewall Manager 会在这些特定可用区中创建终端节点,无论可用区中是否有其他资源。

首次定义Network Firewall 策略时,需要指定 Firewall Manager 如何管理范围内的每个 VPC 中的防火墙子网。以后您不能更改此选项。

对于使用分布式部署模型和自动端点配置的策略,您可以在以下选项中进行选择:

  • 为每个有公有子网的可用区部署防火墙子网。这是默认行为。这为您的流量过滤保护提供了高可用性。

  • 在一个可用区中部署单个Firewall 子网。通过此选择,Firewall Manager 会在 VPC 中识别一个拥有最多公有子网的区域,并在那里创建防火墙子网。单一防火墙终端节点筛选 VPC 的所有网络流量。这可以降低防火墙成本,但可用性不高,需要来自其他区域的流量跨越区域边界才能被过滤。

对于使用具有自定义端点配置的分布式部署模型或集中部署模型的策略,Firewall Manager 会在策略范围内的指定可用区中创建子网。

您可以提供 VPC CIDR 区块供Firewall Manager 用于防火墙子网,也可以将防火墙终端地址的选择留给Firewall Manager 来决定。

  • 如果您不提供 CIDR 区块,Firewall Manager 会向您的 VPC 查询可供使用的 IP 地址。

  • 如果您提供 CIDR 块列表,Firewall Manager 将仅在您提供的 CIDR 块中搜索新子网。必须使用 /28 CIDR 块。对于 Firewall Manager 创建的每个防火墙子网,它会遍历您的 CIDR 阻止列表,并使用它发现的第一个适用于可用区和 VPC 且有可用地址的子网。如果 Firewall Manager 无法在 VPC 中找到开放空间(有或没有限制),则该服务不会在 VPC 中创建防火墙。

如果 Firewall Manager 无法在可用区中创建所需的防火墙子网,则会将该子网标记为不符合策略。当区域处于这种状态时,该区域的流量必须跨越区域边界才能被另一个区域中的端点过滤。这与单防火墙子网场景类似。

Firewall Manager 如何管理您的Network Firewall 资源

在 Firewall Manager 中定义策略时,需要提供标准的网络流量过滤行为Amazon Network Firewall防火墙策略。您可以添加无状态和有状态的Network Firewall 规则组,并为不匹配任何无状态规则的数据包指定默认操作。有关使用防火墙策略的信息,请参见Amazon Network Firewall,请参阅。Amazon Network Firewall防火墙策略.

保存Network Firewall 策略时,Firewall Manager 会在策略范围内的每个 VPC 中创建防火墙和防火墙策略。Firewall Manager 通过连接以下值来命名这些Network Firewall 资源:

  • 也是一个固定的字符串FMManagedNetworkFirewall要么FMManagedNetworkFirewallPolicy,取决于资源类型。

  • Firewall Manager 这是您在创建策略时分配的名称。

  • Firewall Manager 这是AmazonFirewall Manager 策略的资源 ID。

  • Amazon VPC ID。这是AmazonFirewall Manager 创建防火墙和防火墙策略的 VPC 的资源 ID。

以下显示了由Firewall Manager 管理的防火墙的示例名称:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

下面是一个示例的Firewall 策略名称:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

创建策略后,VPC 中的账户所有者无法覆盖您的防火墙策略设置或规则组,但他们可以将规则组添加到 Firewall Manager 创建的防火墙策略中。

Firewall Manager 如何管理和监控您的策略的 VPC 路由表

注意

使用集中部署模式的策略目前不支持路由表管理。

当 Firewall Manager 创建您的防火墙终端节点时,它还会为它们创建 VPC 路由表。但是,Firewall Manager 不管理您的 VPC 路由表。您必须配置 VPC 路由表,将网络流量定向到由 Firewall Manager 创建的防火墙终端节点。使用 Amazon VPC 入口路由增强功能,更改您的路由表以通过新的防火墙终端节点路由流量。您的更改必须在要保护的子网和外部位置之间插入防火墙端点。您需要做的确切路由取决于您的架构及其组件。

目前,Firewall Manager 允许监控您的 VPC 路由表路由中是否存在任何发往互联网网关(即绕过防火墙)的流量。Firewall Manager 不支持 NAT 网关等其他目标网关。

有关管理您的 VPC 路由表的信息,请参阅管理您的 VPC 的路由表Amazon Virtual Private Cloud 用户指南. 有关管理 Network Firewall 的路由表的信息,请参阅的路由表配置Amazon Network FirewallAmazon Network Firewall开发人员指南.

当您启用策略监控时,Firewall Manager 会持续监控 VPC 路由配置,并提醒您有关绕过该 VPC 防火墙检查的流量。如果子网有防火墙端点路由,Firewall Manager 会查找以下路由:

  • 将流量发送到Network Firewall 端点的路由。

  • 将流量从Network Firewall 端点转发到互联网网关的路由。

  • 从 Internet 网关到Network Firewall 端点的入站路由。

  • 来自防火墙子网的路由。

如果子网有Network Firewall 路由,但Network Firewall 和您的互联网网关路由表中有非对称路由,Firewall Manager 会将该子网报告为不合规。Firewall Manager 还会在Firewall Manager 创建的防火墙路由表中检测到 Internet 网关的路由,以及子网的路由表,并将其报告为不合规。Network Firewall 子网路由表和您的互联网网关路由表中的其他路由也被报告为不合规。根据违规类型,Firewall Manager 会建议采取补救措施以使路由配置合规。Firewall Manager 并非在所有情况下都提供建议。例如,如果您的客户子网有在 Firewall Manager 之外创建的防火墙端点,则 Firewall Manager 不会建议采取补救措施。

默认情况下,Firewall Manager 会将所有跨越可用区边界进行检查的流量标记为不合规。但是,如果您选择在 VPC 中自动创建单个终端节点,Firewall Manager 不会将跨越可用区边界的流量标记为不合规。

对于使用具有自定义终端节点配置的分布式部署模型的策略,您可以选择是将来自没有防火墙终端节点的可用区边界的流量标记为合规还是不合规。

注意

  • Firewall Manager 不建议对非 IPv4 路由(例如 IPv6 和前缀列表路由)采取补救措施。

  • 使用拨打的电话DisassociateRouteTable检测到 API 调用最长可能需要在 12 小时后才会检视到。

  • Firewall Manager 为包含防火墙端点的子网创建Network Firewall 路由表。Firewall Manager 假设此路由表仅包含有效的互联网网关和 VPC 默认路由。此路由表中任何多余或无效的路由都被视为不合规。

配置Firewall Manager 策略时,如果您选择显示器模式下,Firewall Manager 提供有关您的资源的资源违规和修复详细信息。您可以使用这些建议的补救措施来修复路由表中的路由问题。如果选择...Off模式,Firewall Manager 不会为你监控你的路由表内容。使用此选项,您可以自己管理 VPC 路由表。有关这些资源的违规行为的更多信息,请参阅查看的合规性信息Amazon Firewall Manager政策.

警告

如果选择...显示器 Amazon Network Firewall路由配置创建策略时,您无法关闭该策略的该策略。但是,如果你选择Off,您可以稍后将其启用。

为 配置日志记录Amazon Network Firewall政策

您可以为Network Firewall 策略启用集中式日志记录,以获取有关组织内部流量的详细信息。您可以选择流量日志来捕获网络流量,或选择警报日志来报告与规则操作设置为的规则匹配的流量DROP要么ALERT. 有关的更多信息Amazon Network Firewall记录,请参阅日志记录来自的网络流量Amazon Network FirewallAmazon Network Firewall开发人员指南.

您将日志从策略的Network Firewall 防火墙发送到 Amazon S3 存储桶。启用日志记录后,Amazon Network Firewall通过更新防火墙设置,将日志传输到您选择的 Amazon S3 存储桶和预留的 Amazon S3 存储桶,从而为每个配置的Network Firewall 传输日志Amazon Firewall Manager前缀,<policy-name>-<policy-id>.

注意

Firewall Manager 使用此前缀来确定日志配置是由 Firewall Manager 添加的,还是由账户所有者添加的。如果账户所有者尝试为自己的自定义日志使用保留的前缀,则该前缀会被 Firewall Manager 策略中的日志配置覆盖。

有关如何创建 Amazon S3 存储桶和查看存储日志的更多信息,请参阅什么是 Amazon S3?Amazon Simple Storage S.

要启用日志记录,您必须满足以下要求:

  • 您在Firewall Manager 策略中指定的 Amazon S3 必须是存在的。

  • 您必须拥有以下权限:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 如果作为您的日志记录目标的 Amazon S3 存储桶使用服务器端加密,密钥存储在Amazon Key Management Service,您必须将以下策略添加到Amazon KMS客户管理的密钥,允许Firewall Manager 登录到您的 CloudWatch 日志日志组:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

请注意,只有Firewall Manager 管理员帐户中的存储段可用于Amazon Network Firewall集中式日志记录。

当您在Network Firewall 策略上启用集中登录时,Firewall Manager 会对您的帐户执行以下操作:

  • Firewall Manager 更新了所选 S3 存储桶的权限以允许日志传输。

  • Firewall Manager 在 S3 存储桶中为策略范围内的每个成员账户创建目录。每个账户的日志都可以在以下网址找到<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

启用Network Firewall 策略的日志记录

  1. 使用 Firewall Manager 管理员账户创建 Amazon S3 存储桶。有关更多信息,请参阅 。创建存储桶Amazon Simple Storage S.

  2. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  3. 在导航窗格中,选择安全策略.

  4. 选择要启用日志记录的Network Firewall 策略。有关的更多信息Amazon Network Firewall记录,请参阅日志记录来自的网络流量Amazon Network FirewallAmazon Network Firewall开发人员指南.

  5. 政策详情选项卡,在政策规则部分,选择编辑.

  6. 要启用和聚合日志,请在下面选择一个或多个选项日志记录配置

    • 启用和聚合流日志

    • 启用和汇总警报日志

  7. 选择您希望向其传输日志的 Amazon S3 存储桶。您必须为启用的每种日志类型选择一个存储桶。您可针对两种日志类型使用同一存储桶。

  8. (可选)如果您希望将自定义成员账户创建的日志记录替换为策略的日志配置,请选择替换现有的日志配置.

  9. 选择 Next(下一步)。

  10. 检视您的设置,然后选择Save(保存)以保存您对策略的更改。

禁用Network Firewall 策略的日志记录

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择安全策略.

  3. 选择要禁用其日志记录的Network Firewall 策略。

  4. 政策详情选项卡,在政策规则部分,选择编辑.

  5. 下面日志路由器配置,取消选择启用和聚合流日志启用和汇总警报日志如果他们被选中。

  6. 选择 Next(下一步)。

  7. 检视您的设置,然后选择Save(保存)以保存您对策略的更改。