AWS推出VPC网络防火墙服务

AWS现在提供网络防火墙服务Network Firewall，可让用户制定特定措施，来保护关键工作负载，或是过滤流量遵守-命令和法规。AWS Network Firewall可过滤出站URL，并使用封包资料IP、连接埠以及协定，进行模式比对以过滤封包，目前这个新的Network Firewall服务，先于美东北维吉尼亚、美西奥勒冈以及欧洲爱尔兰地区开始提供。

虽然在不少AWS服务中，都有提供保护服务的防火墙功能，像是EC2执行个体提供安全群组功能，还有用来保护VPC子网络的网络ACL，以及网页应用程序防火墙，可以保护Amazon CloudFront上执行的网页应用程序，应用程序负载平衡服务、API闸道服务和AWS Shield，能够保护网页应用程序免受DDoS攻击。但AWS提到，不少用户仍需要一种简单的方法，来管理所有使用的AWS服务流量，因此他们创建了AWS Network Firewall。

AWS Network Firewall是一种应用于虚拟私有云（Virtual Private Cloud，VPC）的高可用性网络防火墙服务，用户经简单地部署操作，就能开始有状态检查、入侵防御和侦测，并对网页进行过滤。该防火墙是全托管服务，因此会根据用户的流量，自动扩展规模，以确保防火墙服务的可用性，使用者不需要管理基础设施。

用户可以利用AWS Network Firewall，实作自定义规则，避免VPC存取没有经过授权的网络，并阻挡已知恶意IP位置，或是使用签章来辨识恶意活动。用户可以从CloudWatch指标，来监看防火墙的活动，AWS Network Firewall透过将日志储存到物件储存S3，或是发送到CloudWatch和Kinesis Firehose，来提高网络流量的可见性。

AWS Network Firewall执行无状态和有状态流量检查规则引擎，引擎会根据用户制定的防火墙规则和配置，来过滤网络流量，用户可对VPC中每个可用区域设置网络防火墙，而每个可用区域，可以选择一个子网络，来托管用于过滤流量的防火墙终端，并保护该区域所有子网络。

每个防火墙只能拥有一个防火墙政策，用户可以透过无状态和有状态规则群组集，以及其他配置，来定义防火墙行为，而规则群组则是一群有状态和无状态规则的集合，定义防火墙查看和处理网络流量的方法。

AWS提到，因为Network Firewall整合在Firewall Manager中，所以使用AWS Organizations管理账户的用户，可以统一启用和监控所有VPC以及AWS账户中的防火墙活动。AWS与多家厂商合作，使得Network Firewal可与现有的安全生态系互通，像是可利用Datadog监控AWS Network Firewall，或是使用Fortinet提供的规则等，用户也可以在防火墙中，应用由社群维护的规则。