[新产品/新功能] AWS Network Firewall 现已默认启用主动威胁防御

**发布时间:** 2025-11-18 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/active-threat-defense-default-network-firewall/ ---  [新产品/新功能] AWS Network Firewall 现已默认启用主动威胁防御   # 产品功能分析 ## 新功能/新产品概述 AWS Network Firewall 现已默认启用名为“主动威胁防御”（Active threat defense）的功能。该功能旨在为用户提供一种自动化的、由威胁情报驱动的防护机制，以抵御在 AWS 庞大基础设施中持续监测到的动态网络威胁。当用户通过 AWS 管理控制台创建新的防火墙策略时，该功能将自动以 **警报模式 (alert mode)** 启动。其核心工作原理是利用 AWS 自身的全球威胁情报网络，实时更新并应用威胁指标，对流经防火墙的流量进行分析。用户可以清晰地看到受保护的威胁活动详情，包括威胁指标组、类型和具体名称。该功能的目标用户是所有使用 AWS Network Firewall 的客户，特别是那些希望简化安全运维、自动化威胁响应并利用云厂商原生安全能力的企业安全和IT团队。其市场定位是降低高级威胁防护的门槛，将托管威胁情报服务深度集成到基础网络安全产品中。 ## 关键客户价值 - **零配置启动与即时可见性** - 新建防火墙策略默认启用此功能，客户无需任何额外配置即可立即获得对网络中潜在威胁活动的可见性。这极大地简化了初始安全设置，缩短了价值实现时间。 - *差异化优势*：与需要手动订阅、配置和管理第三方威胁情报源的传统防火墙或虚拟设备方案相比，AWS 提供的“开箱即用”模式消除了集成的复杂性，确保威胁情报始终是最新且与平台兼容的。 - **从被动检测到主动防御的平滑过渡** - 用户可以先在 **警报模式** 下观察和评估威胁检测结果，验证其准确性且不影响业务流量。在建立信任后，可一键切换到 **阻止模式 (block mode)**，自动拦截已知的恶意流量，如 **命令与控制 (C2) 通信**、恶意软件分发域名和钓鱼网站URL等。 - *实现机制*：这种双模式设计降低了采纳新安全功能的风险和阻力。它允许企业根据自身的风险偏好和运维成熟度，分阶段地从被动监控转向主动拦截，实现渐进式的安全能力增强。 - **高精准度的托管威胁情报** - AWS 强调其提供的威胁指标经过严格验证，以确保高准确性并最大限度地减少误报（false positives）。 - *差异化优势*：误报是安全运营中的巨大痛点，可能导致合法业务中断和告警疲劳。AWS 利用其全球云平台的规模优势和海量遥测数据进行情报分析与验证，其产出的情报质量和上下文相关性通常优于通用的第三方情报源，为客户提供了更可靠的原生安全防护。 ## 关键技术洞察 - **深度集成的威胁情报即服务** - 该功能实质上是将 AWS 庞大的全球威胁情报能力封装成一项托管服务，并无缝集成到 **AWS Network Firewall** 的核心引擎中。这代表了网络安全领域将威胁情报消费与网络流量执行点紧密结合的趋势。 - _技术原理基于 AWS 持续分析其全球网络流量、DNS 查询、恶意软件样本等海量遥测数据_，通过机器学习和安全专家分析，自动生成并验证高质量的威胁指标。这些指标随后被动态地推送到 Network Firewall 的托管规则组中，实现近乎实时的防护更新。 - **灵活的双模操作架构** - 提供 **警报模式** 和 **阻止模式** 不仅是功能上的选择，也反映了其技术架构的灵活性。底层规则引擎可以根据策略配置，对匹配到的威胁流量执行不同的动作（记录日志或直接丢弃），而无需更改规则本身。 - *技术创新点*：默认启用“警报模式”是一种巧妙的用户引导策略。它在不中断业务的前提下，向用户展示了产品的价值，通过实际数据证明其检测能力。这种“先试后买”（在功能层面）的体验设计，显著提升了高级安全功能的采纳率。   # AWS Network Firewall 现已默认启用主动威胁防御 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/active-threat-defense-default-network-firewall/](https://aws.amazon.com/about-aws/whats-new/2025/11/active-threat-defense-default-network-firewall/) **发布时间:** 2025-11-18 **厂商:** AWS **类型:** WHATSNEW --- # AWS Network Firewall 现已默认启用主动威胁防御发布于: 2025 年 11 月 18 日从即日起，当您在 AWS 管理控制台 (AWS Management Console) 中创建新的防火墙策略时，AWS Network Firewall 将默认在警报模式 (alert mode) 下启用主动威胁防御 (active threat defense)。主动威胁防御功能基于情报驱动，可自动防御在 AWS 基础设施中观察到的动态、持续的威胁活动。通过此默认设置，您可以深入了解受保护的威胁活动、指标组、类型和威胁名称。您可以切换到拦截模式 (block mode) 以自动阻止可疑流量，例如命令与控制 (C2) 通信、嵌入式 URL 和恶意域名，也可以完全禁用此功能。AWS 会对威胁指标进行验证，以确保高准确性并最大限度地减少误报 (false positives)。主动威胁防御已在所有提供 AWS Network Firewall 的区域上线，包括 AWS GovCloud (US) 和中国区域 (China Regions)。要了解有关主动威胁防御和定价的更多信息，请参阅 AWS Network Firewall [产品页面](https://aws.amazon.com/network-firewall/) 和 [文档](https://docs.aws.amazon.com/network-firewall/latest/developerguide/aws-managed-rule-groups-atd.html)。