AWS Network Firewall for Ingress/Egress Traffic (Simplified Chinese)

實驗室概觀

身為網路工程師，您的角色涵蓋監控網路及針對網路問題進行疑難排解。了解通過網路的流量、能夠識別流量的來源，並確保無法成功進行未經授權的存取嘗試。本實驗室示範了 AWS Network Firewall 的重要概念。本實驗室將示範使用 AWS Network Firewall 並運用佈建為本實驗室部分的資源來篩選輸出 Web 流量。您將了解如何使用 Amazon Route 53 DNS 防火牆來封鎖特定網域，並將其套用至 VPC。接下來，您將使用 Network Firewall Engine 來檢查流量，以及設定無狀態和具狀態規則群組，以降低對 AWS 工作負載的威脅。您將設定 CloudWatch 日誌群組，以監控您的網路並偵測異常。您要根據 CloudWatch 中顯示的發現結果來調查及降低可疑的威脅。

目標

您在此實驗室結束後，將能夠執行下列動作：

• 使用 Network Firewall 規則群組來設定 AWS Network Firewall，以篩選輸出 Web 流量。
• 使用您的自訂網域清單來建立 DNS 防火牆網域清單、規則群組和規則。
• 使用 Route 53 DNS 防火牆來篩選及保護 DNS 流量。
• 使用 CloudWatch 日誌群組來篩選查詢，以稽核及識別潛在威脅。
• 設定 AWS Network Firewall 中的具狀態規則群組，這些規則需遵循 Suricata 相容入侵防禦系統 (IPS) 規則規格。
• 套用具狀態和無狀態防火牆規則，以偵測可疑的網路流量。
• 設定防火牆政策及監控 AWS Network Firewall，以尋找可疑的網路活動。
• 停止透過監控識別的惡意活動及調查安全性警示。

技術知識先決條件

建議您熟悉路由和 DNS。您也應該能夠在 Linux 環境中輕鬆使用 Command Line Interface (CLI)。

先決條件

要使用本實驗室練習，需要符合以下條件：

• 可存取執行 Microsoft Windows、Mac OS X 或 Linux (Ubuntu、SuSE 或 Red Hat) 的電腦。
• 擁有現代化的網際網路瀏覽器，例如 Chrome 或 Firefox。

授課時長

本實驗室需要大約 90 分鐘的時間來完成。

圖示圖例

此實驗室使用各種不同的圖示，提醒您注意指南的特定層面。下列清單說明每個圖示的用途：

• 命令：您必須執行的命令。
• 複製編輯： 當您將命令、指令碼或其他文字複製到文字編輯器時 (用以編輯其中的特定變數)，可能會比直接在命令列或終端機中編輯更輕鬆。
• Additional information (其他資訊)： 有特殊影響或重要性的資訊。
• Note (注意)：注意圖示具體指明了重要的提示、秘訣、指導或建議。
• Caution (提醒)：提醒您注意需特別留意之處或重要資訊。未細讀注意事項不會造成服務中斷或遺失任何資料，但可能會導致需要重複某些步驟。
• Expected output (預期輸出)：您可使用的範例輸出，以驗證命令的輸出內容或經過編輯的檔案。
• 結論：實驗室中的結論或摘要重點。