AWS Network Firewall
AWS Network Firewall เป็นบริการ Managed Firewall ที่ให้การป้องกันระดับ Layer 3 ถึง Layer 7 สำหรับทั้ง VPC โดย AWS เป็นผู้จัดการโครงสร้างพื้นฐานทั้งหมด
ภาพรวม
- เป็น Fully Managed Firewall โดย AWS
- ป้องกัน traffic ในระดับ Layer 3 (Network) ถึง Layer 7 (Application)
- รองรับการตรวจสอบ traffic ทุกทิศทาง:
- VPC to VPC
- Outbound to Internet
- Inbound from Internet
- VPC to/from Direct Connect หรือ Site-to-Site VPN
- สามารถกำหนด rule ได้มากถึง หลายพัน rules
- ทำงานร่วมกับ AWS Firewall Manager เพื่อจัดการ policy ข้าม account
ความสามารถหลัก
Stateful Inspection
- ตรวจสอบ traffic แบบ stateful (จำ connection state ได้)
- สามารถ allow, drop หรือ alert ตาม rule ที่กำหนด
Intrusion Prevention System (IPS)
- ตรวจจับและป้องกัน network threats เช่น exploit attempts
- ใช้ Suricata-compatible rules สำหรับ IDS/IPS
Deep Packet Inspection (DPI)
- ตรวจสอบเนื้อหาของ packet ได้ลึกถึงระดับ Application Layer
- สามารถ filter traffic ตาม domain name, protocol หรือ content pattern
Web Filtering
- บล็อกการเข้าถึงเว็บไซต์ที่ไม่ต้องการ
- กำหนด allow/deny list ตาม URL หรือ domain
Rule Types
- Stateless Rules - ประเมินแต่ละ packet แยกกัน (เร็วกว่า แต่ไม่จำ state)
- Stateful Rules - ประเมินตาม connection state (ซับซ้อนกว่า แต่ละเอียดกว่า)
- รองรับ Suricata-compatible rule format สำหรับ advanced use cases
- สามารถจัดกลุ่ม rules เป็น Rule Groups เพื่อจัดการง่ายขึ้น
สถาปัตยกรรม
- Network Firewall ถูกวางเป็น Firewall Endpoint ใน Subnet ของ VPC
- Traffic ถูก route ผ่าน Firewall Endpoint ก่อนเข้าหรือออกจาก VPC
- ใช้ร่วมกับ Route Table เพื่อควบคุมเส้นทาง traffic
- สามารถวางใน dedicated Firewall Subnet เพื่อแยกการจัดการ
เปรียบเทียบกับ Security Group และ NACL
| คุณสมบัติ | Security Group | NACL | Network Firewall |
|---|---|---|---|
| ระดับ | Instance/ENI | Subnet | VPC |
| Layer | Layer 3-4 | Layer 3-4 | Layer 3-7 |
| DPI | ไม่รองรับ | ไม่รองรับ | รองรับ |
| IPS/IDS | ไม่รองรับ | ไม่รองรับ | รองรับ |
| Domain Filtering | ไม่รองรับ | ไม่รองรับ | รองรับ |
| จำนวน Rules | จำกัด | จำกัด | หลายพัน rules |
| การจัดการ | Self | Self | Managed by AWS |
Use Cases
- Enterprise Security - ป้องกัน VPC ทั้งหมดด้วย firewall ระดับองค์กร
- Compliance - ตอบสนองข้อกำหนดที่ต้องมี network-level inspection
- Centralized Filtering - บล็อก malicious domains หรือ IPs จากศูนย์กลาง
- Data Exfiltration Prevention - ป้องกันการส่งข้อมูลออกไปยังปลายทางที่ไม่ได้รับอนุญาต