更新防火墙规则的最佳实践

关键要点

在本文中，我们讨论了如何利用 AWS Network Firewall 的新功能来保持防火墙规则的最新状态。通过使用托管规则、前缀列表和基于标签的资源组，您可以简化网络安全管理，增强安全性并降低运维负担。

AWS Network Firewall 是一项托管的防火墙服务，便于您为 AWS 上的虚拟私有云VPC部署基本的网络保护。它会根据流量自动扩展，您可以定义防火墙规则，以细致地控制网络流量。

在生产环境中使用安全产品时，您需要坚持不懈地确保安全规则与环境的修改保持同步。为了遵循组织的最佳实践，您应当勤奋地审核和更新安全规则，但这可能会增加团队的运维负担。

自从 Network Firewall 发布以来，我们增加了一些新功能，通过使用托管规则和自动化方法简化您的工作。这种方法可以精简团队的运营，同时通过减少因手动干预或客户自动化过程引起的失败风险来增强安全性。您可以通过轻松点击几次，应用定期更新的安全规则，从而实现全面的保护措施。

在本文中，我将讨论三个功能托管规则组、前缀列表和基于标签的资源组，深入了解 Network Firewall 如何帮助您保持规则集的及时有效。

前提条件

如果您是第一次使用 Network Firewall，请确保完成以下前提条件。如果您已经创建了规则组、防火墙策略和防火墙，则可以跳过此部分。

步骤 1：创建规则组步骤 2：创建防火墙策略步骤 3：创建防火墙

Network Firewall 和 AWS 托管规则组

AWS 托管规则组 是一组预定义的、可直接使用的规则，由 AWS 负责维护。您可以利用这些规则解决常见安全使用案例，并帮助保护您的环境免受各种威胁。这将帮助您与不断变化的威胁形势和安全最佳实践保持同步。

使用 Network Firewall 的客户无需支付额外费用即可使用 AWS 托管规则组。当您使用有状态规则组时，可以集成托管规则，以帮助提供针对僵尸网络、恶意软件和网络钓鱼尝试的保护。

AWS 提供两种类型的托管规则组：域和 IP 规则和威胁特征规则组。AWS 会定期维护和更新这些规则组，因此您可以使用它们以对抗不断演变的安全威胁。

使用 Network Firewall 时，其中一个应用案例是保护您的出站流量不受受损主机、恶意软件和僵尸网络的影响。为满足此需求，您可以使用域和 IP 规则组，选择基于多个因素的域和 IP 规则，例如：

通常被认为是合法但现在已被入侵并承载恶意软件的域知名的恶意软件承载域真实合法但已被入侵并承载僵尸网络的域知名的僵尸网络承载域

威胁特征规则组通过支持多个威胁特征类别提供额外保护，以帮助防御各种类型的恶意软件和利用、拒绝服务攻击、僵尸网络、网络攻击、凭证钓鱼、扫描工具及邮件或消息攻击。

使用 Network Firewall 托管规则

更新您作为本帖前提条件创建的现有防火墙策略或创建新防火墙策略。向您的策略中添加托管规则组，选择域和 IP 规则组或威胁特征规则组。

下面的图表展示了 AWS 托管规则的使用情况。它展示了域和 IP 规则组以及威胁特征规则组，并以具体的规则或类别作为示例。

图 1 部署了 AWS 托管规则的 Network Firewall

如图 1 所示，使用 AWS 托管规则的过程如下：

防火墙策略包含来自域和 IP 规则组以及威胁特征规则组的托管规则。如果保护的子网中的流量通过防火墙策略检查并到达 Network Firewall 端点，那么流量将继续流向 NAT 网关和互联网网关如图中虚线所示。如果保护的子网中的流量未通过防火墙策略检查，流量将在 Network Firewall 端点被丢弃如图中点线所示。

AWS 托管规则的内部工作原理

让我们深入探讨 AWS 用于托管规则的基础机制和流程。配置完防火墙后，您将获得 AWS 管理的最新规则的好处。AWS 会以固定的频率从托管规则提供商处拉取更新的规则内容，用于基于域的规则和其他托管规则组。

Network Firewall 团队运用服务器无关的处理管道处理来自供应商源的规则，首先提取这些规则以便进行操作和转换为托管规则组。然后，基于元数据将规则映射到相应的类别。最终规则上传到Amazon 简单存储服务 (S3)，以便为每个 AWS 区域的传播做好准备。

最终，Network Firewall 会逐个区域处理规则组内容，将来自供应商的新内容更新到与您的防火墙关联的托管规则组对象中。订阅威胁特征规则组的用户将收到SNS 通知，通知他们规则已经更新。

AWS 处理与此过程相关的任务，让您可以安全部署工作负载，同时应对不断变化的安全威胁。

Network Firewall 和前缀列表

Network Firewall 支持Amazon 虚拟私有云 (Amazon VPC) 前缀列表，以简化您的防火墙规则和策略在 VPC 中的管理。借助此功能，您可以定义一个前缀列表并在后续规则中引用。举例来说，利用前缀列表，您可以将多个 CIDR 块分组为单一对象，而不是通过创建特定用例的前缀列表逐一管理它们。

AWS 提供两种类型的前缀列表：AWS 托管前缀列表和客户管理的前缀列表。本篇文章聚焦于客户管理的前缀列表，通过这种前缀列表，您可以定义和维护自己的 IP 地址范围，以满足特定需求。虽然您可以操作这些前缀列表并添加或删除 IP 地址，但 AWS 控制和维护这些前缀列表与 Network Firewall 的集成。

使用 Network Firewall 前缀列表

创建前缀列表。更新您作为本帖 前提条件 创建的现有规则组或创建新规则组。在IP 集合参考部分，选择编辑，在资源 ID部分，选择您创建的前缀列表。

图 2 展示了部署了前缀列表的 Network Firewall。

图 2 部署了前缀列表的 Network Firewall

如图 2 所示，我们使用了与之前示例相同的设计：

我们使用了一个在规则组中引用的前缀列表。保护子网中的流量通过 Network Firewall 端点和 NAT 网关，然后到达互联网网关。当流量通过 Network Firewall 端点时，包含规则组的防火墙策略决定根据政策是否允许该流量。

前缀列表的内部工作原理

配置了引用前缀列表的规则组后，Network Firewall 会自动保持相关联的规则始终更新。Network Firewall 会创建一个与该前缀列表对应的 IP 集合对象 ，这是 Network Firewall 内部跟踪前缀列表引用状态的方式，并包含来自源的已解析 IP 地址和与 IP 集合相关的其他元数据，例如哪些规则组引用了它。AWS 管理这些引用，并据此跟踪需要更新的防火墙，以便在这些 IP 集的内容改变时进行更新。

Network Firewall 编排引擎与前缀列表集成，并与 Amazon VPC 协同工作，以保持解析后的 IP 始终最新。无论前缀列表是 AWS 托管的还是客户管理的，编排引擎都会自动刷新与之关联的 IP。

使用前缀列表与 Network Firewall 时，AWS 会为您处理大量工作。这种托管方式简化了过程，同时提供了根据特定安全要求自定义允许或拒绝 IP 地址列表的灵活性。

Network Firewall 和基于标签的资源组

通过 Network Firewall，您现在可以使用基于标签的资源组来简化防火墙规则的管理。资源组 是一组位于同一区域的 AWS 资源，并且符合资源组查询中指定的条件。基于标签的资源组的成员资格基于一个查询，该查询指定了一系列资源类型和标签。标签 是帮助识别和分类您组织内资源的键值对。

在您的有状态防火墙规则中，您可以引用为一组特定的亚马逊弹性计算云 (Amazon EC2) 实例或弹性网络接口 (ENI) 创建的资源组。当这些资源发生变更时，您无需每次都更新规则组。相反，您可以为基于标签的资源组中包含的资源使用标签策略。

随着您的 AWS 环境的变化，确保新资源使用与当前资源相同的出站规则是很重要的。然而，随工作负载变化而管理 EC2 实例变化会导致额外运维负担。通过在规则中使用基于标签的资源组，您可以消除手动管理 AWS 环境中变化资源的需要。

使用 Network Firewall 资源组与有状态规则组

创建 Network Firewall 资源组 为两个应用创建一个资源组。本博客文章中的示例中，应用 1 的名称为 rgapp1 ，应用 2 的名称为 rgapp2。更新您作为本帖 前提条件 创建的现有规则组或创建新规则组。在 IP 集合参考部分，选择编辑；在资源 ID部分，选择在上一步中创建的资源组rgapp1 和 rgapp2。

当您的 EC2 实例或 ENI 扩展时，这些资源将保持同步。

图 3 展示了与有状态规则组的资源组。

云梯加速器破解版

图 3 部署了资源组的 Network Firewall

如图 3 所示，我们将 EC2 实例标记为 app1 或 app2 。在您的有状态规则组中，限制应用 2 的对某个网站的访问，但允许应用 1 的访问：

我们在规则组中引用了资源组。保护子网中的流量通过 Network Firewall 端点和 NAT 网关，然后到达互联网网关。当流量通过 Network Firewall 端点时，包含引用特定资源组的规则组的防火墙策略决定如何处理流量。图中虚线表示流量被允许，而点线表示根据该规则被拒绝。

资源组的内部工作原理

对于基于标签的资源组，Network Firewall 与资源组协作，自动刷新 Network Firewall 资源组的内容。Network Firewall 首先解析与资源组相关联的资源，即匹配标签查询的 EC2 实例或 ENI。然后，通过调用相关的 Amazon EC2 API，解析与这些资源关联的 IP 地址。

一旦通过前缀列表或 Network Firewall 资源组解析了 IP 地址，IP 集合即已准备好传播。Network Firewall 将更新的 IP 集合对象内容上传到 Amazon S3，负责数据平面容量的硬件会获取此新配置。有状态防火墙引擎接受并应用这些更新，确保规则适用于新的 IP 集合内容。

通过在工作负载中使用基于标签的资源组，您可以将大量的防火墙管理任务委托给 AWS，从而提高效率，减少手动工作。

注意事项

当您在防火墙策略中使用托管规则组时，您可以编辑以下设置：设置规则操作为警报。这将覆盖规则组中的所有规则操作为 alert，对于在使用前测试规则组是很有用的。托管规则组计入每个策略的有状态规则限制。有关更多信息，请参见AWS Network Firewall 配额及在 AWS Network Firewall 中设置规则组容量。在使用前缀列表和资源组时，请确保您了解IP 集合参考的限制。

结论

在本文中，您了解了如何利用 Network Firewall 的托管规则组、前缀列表和基于标签的资源组，从而利用自动化和用户友好的功能。您还详细了解了 AWS 如何为您操作这些功能，以帮助您轻松部署安全的解决方案。通过整合这些功能，提升您当前或新部署的 Network Firewall。

如果您对本帖有任何反馈，请在评论部分提交。若有疑问，请联系 AWS 支持。

![Salman Ahmed](https//d2908q01vomqb2cloudfrontnet/22d200f8670dbdb3e253a90eee5098477c95c23d