Network Firewall防护能力再提升，免受主动威胁侵害

转载于 2025-06-30 11:02:18 发布 · 41 阅读

CC 4.0 BY-SA版权

原文链接：https://mp.weixin.qq.com/s?__biz=Mzg4NjU5NDUxNg==&mid=2247598271&idx=1&sn=1d5bc292b996cb05850d2edbb45593c3&chksm=cefc6727c985413aa2e05752262a7770c274dd8138301bd7701803d490ed557cf6d490654bf1&scene=126&sessionid=0

文章标签：

#网络

Amazon Network Firewall常被客户用来保护其工作负载，免受常见安全威胁的侵害。然而，在防范活跃威胁时，他们往往不得不依赖第三方威胁情报源和扫描器，而这些工具对亚马逊云科技工作负载的可见性有限，无法抵御主动威胁。通过传统威胁情报源和自定义规则，借助自管理方式进行云安全防护，可能会导致响应延迟，使客户暴露在与亚马逊云科技工作负载相关的活跃威胁之下。

因此，客户正在寻求一种自动化方法来分析威胁，并在多个执行点部署缓解措施，以建立一致的防御体系，同时希望获得一项统一的、亚马逊云科技原生解决方案，能够快速保护其整个云基础设施免受活跃威胁的侵害。

本文将介绍主动威胁防御功能，这是一个全新的Amazon Network Firewall托管规则组，可针对与亚马逊云科技工作负载相关的活跃威胁提供防护。主动威胁防御功能借助亚马逊云科技全球基础设施的可见性以及广泛的威胁情报，来提供自动化、智能驱动的安全防护措施。该功能利用亚马逊云科技的威胁情报系统MadPot，该系统会持续追踪攻击基础设施，包括恶意软件托管网址、僵尸网络指挥与控制服务器以及加密货币挖矿池，从而识别出活跃威胁的入侵指标（IOCs）。

主动威胁防御以规则组“AttackInfrastructure”的形式呈现，它通过阻断与已检测到的攻击基础设施之间的通信，来防范恶意网络流量。在防火墙策略中配置完成该托管规则组后，Amazon Network Firewall现能够自动拦截可疑流量，阻止其访问与恶意IP、域名和URL的通信，这些恶意资源涉及命令与控制（C2s）、恶意软件暂存主机、数据黑洞、带外测试（OAST）以及矿池等各类入侵指标类别。该功能针对包括TCP、UDP、DNS、HTTPS和HTTP在内的多种协议，对入站和出站流量实施全面过滤，并采用经过验证的特定威胁指标，以确保高准确率并尽量减少误报。

具备主动威胁防御功能的Amazon Network Firewall，通过以下机制保护亚马逊云科技工作负载：

威胁防范：利用亚马逊云科技威胁情报自动拦截恶意流量，以识别并防范针对亚马逊云科技工作负载的活跃威胁。
快速防护：根据新发现的威胁持续更新Amazon Network Firewall规则，从而能够立即对威胁实施防护。
简化运维：在Amazon Network Firewall上启用主动威胁防御功能后，GuardDuty中标记有威胁列表名称“Amazon Active Threat Defense”的检测结果可以自动被拦截。
协同防御：深度威胁检测（DTI）功能支持共享威胁情报，从而提升对主动威胁防御托管规则组用户的防护能力。

在Amazon Network Firewall中使用主动威胁防御托管规则组的情况如图1所示，展示了如何利用从MadPot收集的威胁数据，在亚马逊云科技托管规则组中自动创建有状态规则。

图1：具备主动威胁防御功能的

Amazon Network Firewall

开始使用

您可通过亚马逊云科技管理控制台、Amazon Web Services CLI或Amazon Web Services SDK，直接在Amazon Network Firewall中启用主动威胁防御托管规则组。

启用之后，您可以将该托管规则组与Amazon Network Firewall策略相关联。该规则组会定期接收更新，其中包含新的威胁指标和特征码，同时会自动移除失效或过期的特征码。

准备条件

要开始使用具备主动威胁防御功能的Amazon Network Firewall，请访问Amazon Network Firewall控制台或参阅《Amazon Network Firewall开发者指南》。

目前，在Amazon Network Firewall可用的所有亚马逊云科技区域，包括Amazon GovCloud（美国）区域和中国区域，均支持主动威胁防御功能。

《Amazon Network Firewall开发者指南》

https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html

如果您是首次使用Amazon Network Firewall，请务必准备以下条件。

创建防火墙策略。
创建防火墙。

如果您已经拥有防火墙策略和防火墙，则可以跳过此部分。

设置主动威胁防御托管规则组

完成准备条件后，即可设置并使用主动威胁防御托管规则组。

设置托管规则组

1.在Amazon Network Firewall控制台的导航窗格中，选择“防火墙策略”。

2.选择一个现有的防火墙策略，或选择您在完成准备条件时创建的策略。

图2：选择Amazon Network Firewall策略

3.向下滚动至“有状态规则组”部分。在右侧选择“操作”，然后选择“添加托管有状态规则组”。

图3：添加规则组

4.在“添加托管有状态规则组”页面上，向下滚动至“主动威胁防御”部分，选择规则组“AttackInfrastructure”。根据您对深度威胁检测的需求，选择是否启用该功能，例如您不希望Amazon Network Firewall处理服务日志，则可以选择不启用该功能。然后选择“添加到策略”。

图4：将规则组添加到防火墙策略

5.您可以在下一页验证托管规则组是否已添加到防火墙策略中。

图5：验证托管规则组已添加到防火墙策略

定价

有关主动威胁防御功能的价格信息，请参阅Amazon Network Firewall定价。

Amazon Network Firewall定价：

https://aws.amazon.com/network-firewall/pricing/?did=ap_card&trk=ap_card

注意事项

使用具备主动威胁防御功能的Amazon Network Firewall时，您需要考虑以下注意事项。

1.理解结合使用TLS检查功能与主动威胁防御托管规则组时，Amazon Network Firewall如何更有效地检测和缓解与HTTPS流量相关的威胁。TLS检查功能使主动威胁防御功能可以分析加密连接的实际内容，从而识别并拦截可能逃过检测的恶意URL。这一过程包括解密流量、检查内容中是否存在已知的恶意URL模式或行为，若判定流量安全，则重新加密流量。

有关TLS检查的更多考量因素，请参阅《TLS检查考量因素》。企业必须在安全效益与可能引入的延迟之间取得平衡，并确保采取适当控制措施来处理敏感的解密数据。

2.减少误报。在防火墙策略中使用此托管规则组时，您可以编辑规则组的警报设置，以此作为缓解策略的一部分，帮助识别误报情况。更多信息，请参阅《缓解误报》相关内容。

3.使用托管规则组如何计入每项策略中有状态规则数量的限制。更多信息，请参阅《Amazon Network Firewall配额》以及《在Amazon Network Firewall中设置规则组容量》。

《TLS检查考量因素》

https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/

《缓解误报》

https://docs.aws.amazon.com/network-firewall/latest/developerguide/nwfw-using-managed-rule-groups-mitigating-false-positive.html

《Amazon Network Firewall配额》

https://docs.aws.amazon.com/network-firewall/latest/developerguide/quotas.html

《在Amazon Network Firewall中设置规则组容量》

https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-managing.html#nwfw-rule-group-capacity

本文介绍了如何使用Amazon Network Firewall的主动威胁防御托管规则组，来保护工作负载免受主动威胁的侵害。

您可立即开始体验，提升安全态势。

本篇作者