Was ist AWS Network Firewall?
AWS Network Firewall ist ein vollständig verwalteter Netzwerk-Firewall-Service mit granularer Kontrolle über VPC-Traffic. Der Service kombiniert Stateful Packet Inspection, Intrusion Prevention System (IPS), Protocol Detection und Domain Filtering.
Im Gegensatz zu Security Groups und NACLs bietet Network Firewall erweiterte Funktionen auf VPC-Ebene mit Deep Packet Inspection und Suricata-basierter Bedrohungserkennung.
Kernfunktionen
- Stateful Inspection: Connection Tracking für TCP/UDP/ICMP
- Intrusion Prevention: Suricata-kompatible IPS-Regeln mit täglichen Updates
- Domain Filtering: SNI und HTTP Host Header Inspection
- TLS Inspection: Entschlüsselung und Inspection von HTTPS-Traffic
- AWS Firewall Manager: Zentrale Policy-Verwaltung über Accounts
Typische Anwendungsfälle
Zentrale VPC-Inspection: In Hub-and-Spoke-Architekturen filtert Network Firewall den gesamten Traffic zwischen VPCs und zum Internet. Zentrale Policies vereinfachen Compliance.
Malware-Schutz: AWS Managed Rules erkennen bekannte Malware-Familien, C2-Traffic und Exploit-Versuche. TLS Inspection ermöglicht Analyse auch von verschlüsseltem Traffic.
Compliance-Logging: Alle Verbindungen werden protokolliert und können zu SIEM-Systemen gestreamt werden. Erfüllt Anforderungen von PCI DSS und anderen Standards.
Vorteile
- Enterprise-Grade Firewall ohne Infrastruktur-Management
- Automatische Rule-Updates durch AWS Managed Rules
- Skaliert automatisch bis 100 Gbps pro Endpoint
- Integration mit AWS Organizations für Multi-Account-Management
Integration mit innFactory
Als AWS Reseller unterstützt innFactory Sie bei AWS Network Firewall: Wir helfen bei Netzwerk-Architektur-Design, Suricata-Rule-Entwicklung und der Migration von On-Premises-Firewalls.
Verfügbare Varianten & Optionen
Standard Protection
- Stateful inspection
- Domain filtering
- Protocol detection
- Zusätzliche Kosten für Datenverarbeitung
IPS with AWS Managed Rules
- Suricata-kompatible IPS-Regeln
- Automatische Updates durch AWS
- Open-Source Emerging Threats Rules
- Zusätzliche Kosten für Rule Groups
Typische Anwendungsfälle
Technische Spezifikationen
Häufig gestellte Fragen
Was ist AWS Network Firewall?
AWS Network Firewall ist ein verwalteter Firewall-Service mit Stateful Inspection, Intrusion Prevention und Domain Filtering für VPCs. Er nutzt Suricata als IPS-Engine und bietet erweiterte Filterung über Security Groups hinaus.
Wann sollte ich Network Firewall statt Security Groups nutzen?
Nutzen Sie Network Firewall für IPS mit Suricata-Regeln, Domain-basierte Filterung, zentrale Policies über mehrere VPCs und Compliance-Anforderungen mit zentralem Logging. Security Groups bleiben für Instance-Level-Zugriffskontrolle.
Welche Rule-Typen werden unterstützt?
Stateless Rules für schnelle 5-tuple-Filterung, Stateful Rules mit Connection Tracking, Suricata-kompatible IPS-Regeln für Deep Packet Inspection und Domain-basierte Rules für HTTP/HTTPS-Filterung.
Was kosten AWS Managed Rule Groups?
Threat Signatures IPS kosten ca. 0,01 Euro pro GB zusätzlich zur Standard-Datenverarbeitung. Die Rules werden täglich automatisch aktualisiert.