[新产品/新功能] AWS Network Firewall 增强应用层流量控制

**发布时间:** 2025-09-25 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/09/aws-network-firewall-enhances-application-layer-traffic-controls ---  [新产品/新功能] AWS Network Firewall 增强应用层流量控制   # 产品功能分析 ## 新功能/新产品概述 **AWS Network Firewall** 是一项托管式网络防火墙服务，用于保护 **Amazon VPC**。本次更新增强了其应用层流量控制能力，专门用于处理被分割到多个网络数据包（**packets**）中的 **TLS Client Hello** 消息和 **HTTP** 请求。此功能通过引入新的默认 **有状态规则操作**（stateful rule actions）——`drop established` 和 `alert established` 来实现。当防火墙规则匹配到一个流量会话的初始数据包后，可以对该会话的后续所有数据包自动执行丢弃或告警操作。这解决了传统防火墙在检测被分片的应用层数据时面临的挑战，因为关键信息（如 **TLS** 握手信息或 **HTTP** 头部）可能不完整地存在于单个数据包中。 - **目标用户群**：云安全管理员、网络工程师以及需要在 AWS 环境中实施精细化网络安全策略的 DevSecOps 团队。 - **市场定位**：强化 AWS 原生网络安全服务的能力，为客户提供一种无需管理底层基础设施、易于配置且能有效应对现代网络协议复杂性的高级威胁防护方案。 ## 关键客户价值 - **简化高级安全策略的配置与维护** - **业务价值**：客户不再需要编写复杂的自定义规则来手动重组分片数据包或跟踪会话状态。通过简单的默认操作，即可实现对整个会话的持续控制，显著降低了安全策略的配置复杂度和管理开销，并减少了因配置错误导致的安全风险。 - **差异化优势**：相较于依赖第三方网络虚拟设备（NFV）或需要手动编写复杂 Suricata/Snort 规则的解决方案，AWS 的原生集成服务提供了更自动化、更可靠的处理机制。这种“一次匹配，持续应用”的模式，确保了策略执行的高效性和准确性。 - **增强对现代加密流量的可见性与控制** - **业务价值**：随着 **TLS 1.3** 等协议的普及，**Client Hello** 消息中的服务器名称指示（**SNI**）是实现域名过滤的关键。新功能确保即使 **Client Hello** 被分片，防火墙也能准确识别并执行策略（如阻止访问恶意域名），有效防御利用加密流量隐藏的威胁。 - **实现机制**：防火墙的有状态引擎能够识别并关联属于同一 **TLS** 握手过程的多个数据包。一旦在初始数据包中识别出需要阻止的 **SNI**，`drop established` 操作会确保该 **TLS** 连接无法成功建立，从而阻止后续所有加密数据的传输。 - **提升对大型或分片应用层请求的防护能力** - **业务价值**：现代Web应用（如API、文件上传服务）常产生跨越多个数据包的大型 **HTTP** 请求。此功能确保了对这类流量的全面检测，有效防止攻击者利用分片技术（fragmentation attacks）绕过入侵防御系统（**IPS**）的检测。 - **使用场景**：例如，一个包含恶意负载的 **HTTP POST** 请求被分割成多个数据包发送。传统防火墙可能因无法在单个数据包中看到完整的攻击签名而放行。AWS Network Firewall 可以在识别到恶意的 **HTTP** 头部后，阻止该请求的后续所有数据包，从而瓦解整个攻击。 ## 关键技术洞察 - **基于增强的流量处理模型**：此功能的核心是 _对有状态规则引擎的深度优化_。它不仅跟踪 **TCP/IP** 层的连接状态（如 `ESTABLISHED`），还能在应用层协议（L7）层面理解会话上下文，并将决策（如 `drop` 或 `alert`）与整个流量会话（flow）绑定。 - **“首包检测，全流应用”机制** - **工作原理**：当一个新连接建立时，防火墙会对初始数据包进行深度包检测（**DPI**）。一旦检测到符合特定规则的模式（例如，一个特定的 **SNI** 或 **HTTP Host** 头），引擎会为该连接流打上一个“标记”。新的 `established` 操作会指示防火墙对所有带有此“标记”的后续数据包执行相应的动作，而无需对每个数据包重复进行昂贵的深度检测。 - **技术创新点**：这种机制在性能和安全性之间取得了很好的平衡。它避免了对每个分片数据包进行重组和分析所带来的性能开销，同时确保了安全策略的一致性和完整性，有效防止了规避检测的技术。 - **对现代协议的适应性** - **挑战**：处理分片流量和现代加密协议是网络安全设备面临的主要挑战，需要大量的计算资源和复杂的逻辑来重构会话并进行分析。 - **解决方案**：AWS Network Firewall 作为一个托管服务，利用其云原生的可扩展架构来处理这些复杂任务。其分布式状态管理引擎能够高效处理海量并发连接，确保在不影响网络性能的前提下，提供可靠的应用层安全防护。   # AWS Network Firewall 增强应用层流量控制发布于：2025 年 9 月 25 日 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 是一项托管服务 (managed service)，可以轻松地为您的 Amazon VPC 部署必要的网络保护。该服务现在提供了增强的默认规则，用于处理 TLS 客户端 Hello 消息 (TLS client hellos) 以及跨多个数据包拆分的 HTTP 请求。本次更新引入了新的应用层默认有状态操作，即“丢弃” (drop) 和“对已建立连接告警” (alert established)，使客户能够在支持现代 TLS 实现和大型 HTTP 请求的同时，维持安全控制。这些增强功能帮助客户无需编写复杂的自定义规则，即可实施强大的安全策略。现在，当关键信息分段到多个数据包中时，安全团队可以有效地检查和筛选这些流量，同时通过详细的日志记录选项保持可见性，从而更轻松地使用现代协议和加密标准来保护应用程序。该功能已在支持 AWS Network Firewall 的所有 AWS 区域 (AWS Regions) 提供。要了解更多信息，请参阅 AWS Network Firewall 服务 [文档](https://docs.aws.amazon.com/network-firewall/)。