Брандмауер AWS Network – це керована, державна мережева брандмауер та служба захисту вторгнення, яку ви можете використовувати для реалізації правил брандмауера для тонкого зернистого контролю над вашим мережевим трафіком. За допомогою мережевого брандмауера ви можете фільтрувати трафік на периметрі вашої віртуальної приватної хмари (VPC); У тому числі фільтрування трафіку, що надходить і надходить з Інтернет -шлюзу, Nat Gateway, над VPN або AWS Direct Connect. У цій публікації ми показуємо вам, як мережевий брандмауер AWS використовує реплікацію сеансу, щоб допомогти підтримувати високу доступність для вашого трафіку додатків.
Реплікація стану сеансу брандмауера
Державний двигун, який використовується мережевим брандмауером, застосовує політику безпеки мережі відповідно до визначених клієнтами правилами. Під час перегляду державних потоків мережевий брандмауер підтримує реконструйований стан – в таблиці потоку – для кожного з'єднання. Мережевий брандмауер – це розподілена послуга, розповсюдження трафіку та стан з'єднання над багатьма хостами брандмауера, що використовують кінцеві точки балансира навантаження шлюзу.
Існує декілька оперативних причин, чому хости -бекенди можуть бути введені та поза ним, наприклад, події автоматичного масштабування для коригування для зміни рівнів трафіку або встановлення програмного забезпечення для безпеки та інших оновлень послуг. Під час цих операцій, якщо трафік містить тривалий трафік, мережевий брандмауер дозволяє цим потоком стікати протягом декількох хвилин, перш ніж замінити господарів та переоцінити їх на нові господарі.
Коли існуючий потік перебалансується на новий хост, який не містить стану підключення, з'єднання обробляється відповідно до політики налаштованої політики брандмауера. Мережевий брандмауер або відхилить, або відхилить ці з'єднання, або мережевий брандмауер може бути налаштований на те, щоб продовжувати застосовувати правила політики брандмауера без контексту з попереднього з'єднання. Обидва варіанти мають наслідки: використання drop або reject Дія підтримує безпеку, змушуючи перезавантаження та повторно відзначити з'єднання, але ціною деяких зламаних з'єднань, поки continue Дія вимагає написання правил брандмауера, які можуть приймати з'єднання, порушені серединою.
У грудні 2024 року AWS запровадила можливість мережевого брандмауера для повторити стан сеансу між хостами Backend, зменшуючи кількість випадків, коли політика винятку по потоку повинна застосовуватися до зламаних з'єднань. Тепер більшість цих невдалих потоків переходять до нового господаря, який вже містить правильний стан потоку, дозволяючи цим зв’язкам продовжуватись без переривання. Ця функція автоматично увімкнена за замовчуванням на всі брандмауери, і ви не потрібні. Політика винятку від потоку продовжуватиме застосовуватися в рідкісних випадках, коли стан не може автоматично реплікувати або коли з'єднання порушені з інших причин, таких як зміни маршрутизації в мережі.
Малюнок 1: Потік реплікації стану сеансу
На малюнку 1 показана послідовність подій для підтримки постійного з'єднання під час операцій із заміни хоста брандмауера:
- Потік мережі надходить до кінцевої точки брандмауера мережі і пересилається на хост брандмауера (хост брандмауера 1) за допомогою балансира навантаження Gateway.
- Ведучий брандмауера 1 відновлюється з цільової групи балансира навантаження шлюзу, що призводить до того, що балансир навантаження шлюзу припиняє призначати новому потоці хост-хост, але підтримує існуючі.
- Служба експортує таблицю стану сесії, що залишилася, із хоста брандмауера 1.
- Служба повторює дані таблиці сеансу для інших хостів здорового бекенда.
- Операція змивання потоку призводить до того, що балансир навантаження шлюзу перепризначить решту потоків на хост 1 до інших хостів, що працюють на службі, де поточні потоки продовжуватимуть перевірятись державними правилами перевірки, налаштованими на брандмауері.
Деякі з ключових міркувань для власних навантажень:
Висновок
У цій публікації ми окреслили, як брандмауер AWS Network використовує свою здатність повторювати стан з'єднання у декількох хостах брандмауера, щоб підтримувати високу доступність для трафіку програми. Ця функція увімкнена за замовчуванням для існуючих та нових клієнтів, і немає додаткових витрат або змін конфігурації, необхідних для використання цієї функції.
Щоб дізнатися більше про брандмауер AWS Network, див. Сторінку продукту Birewall Network Network та документацію про сервіс. Щоб побачити, в які регіони AWS мережевий брандмауер доступний, див. AWS Services за регіонами.
Якщо у вас є відгуки про цю публікацію, надішліть коментарі в Коментарі Розділ нижче. Якщо у вас є питання щодо цієї публікації, зверніться до підтримки AWS.