AWS Network Firewall
AWS上提供了丰富的网络防护服务,例如:
Security Group和Network ACL用于控制哪些IP能访问哪些端口。Security Group作用于ENI上,默认阻止所有入方向的流量,允许所有出方向的流量;NACL作用在子网级别,默认阻止所有入方向和出方向的流量WAF用于保护Web应用,自定义规则防止SQL、XSS等攻击AWS Shield用于防止DDoS攻击
在2020年,推出了AWS Network Firewall产品,它部署在VPC的子网中,用于清洗流量:
和上面提到的一些网络防护服务比起来,它具有以下特点:
| Security Group | Network ACL | WAF | AWS Network Firewall | |
|---|---|---|---|---|
| 工作级别 | EC2实例 | 子网 | CloudFront、ALB | VPC级别,所有流经VPC的流量 |
| 是否是无状态防火墙 | Stateful | Stateless | Stateless | 两者都有 |
| OSI | 3/4层 | 3/4层 | 7层 | 3-7层 |
| 特性 | IP+端口过滤 | IP+端口过滤 | 应用层过滤 | 3-7层都能过滤 |