AWS防火牆打造雲網絡安全詳解

　　防火牆是網絡安全的核心部分且日趨復雜，始終與企業面臨的不斷變化的威脅抗爭。更新的防火牆能夠分析網絡流量行為、協議以及應用層數據。然而，當將資源轉移到亞馬遜雲上時，企業可能會發現沒有相同數量和類型的的防火牆可供選擇。在這篇技巧中，我們將會針對雲網絡安全，調查AWS內置的防火牆、第三方的防火牆以及開源防火牆。

　　AWS防火牆

　　內置的AWS防火牆對於信息安全專家來說還有許多待改進之處。為了在EC2內創建防火牆規則，企業可以創建“安全群組。”這些群組描繪了應用於EC2的防火牆規則集，每一個群組僅允許企業配置入站規則。對於使用亞馬遜虛擬私有雲（VPC）服務的用戶來說，可以創建入站和出站規則，但是有雲VPC服務高昂的成本，會導致這項實施花費更多。

　　至於檢查能力，AWS防火牆過濾器和IP選項集捆在一起，操縱基本的分組分段（但是允許攻擊者通常阻礙入侵檢測系統所創建的異常片段），且執行簡單的狀態過濾器。然而，在AWS防火牆內，對於任何規則允許未登錄，這是個非常明顯的短處。大多數網絡和安全團隊都希望對這些登錄進行入侵檢測和分析，使用單機或者安全事件管理工具。盡管亞馬遜防火牆可能在一些場景中足夠充分，但是安全專業人士更喜歡選擇的AWS網絡安全選擇。

　　針對AWS的第三方防火牆

　　幾乎沒有第三方的防火牆選項能夠和AWS整合。Check Point已經將Check Point Security Gateway R75整合到AWS市場中。這意味著尋求安裝VPC環境的企業可以創建新的虛擬Check Point防火牆，並將其整合到企業的私有雲中。

　　Check Point防火牆表現的更像是傳統的Check Point設備，提供了狀態流量檢測和控制功能、應用和協議分析規則以及VPN連接。Check Point的虛擬設備能夠同各種亞馬遜實例類型整合，也支持Check Point“軟件刀鋒”功能，這個功能為安全性能集提供了模塊化的方法。Check Point是目前唯一在防火牆領域成熟的廠商產品，能夠完全整合到亞馬遜的市場之中。思科和Juniper在AWS市場上還沒有任何產品，盡管他們都提供虛擬防火牆平台（分別為ASA 1000v和vGW產品）。

　　除了Check Point選項意外，企業在亞馬遜EC2中安裝防火牆要取決於他們自己所使用的開源軟件解決方案。Smoothwall有開源和商業產品，在單一包中提供了包過濾、Web過濾和電子郵件保護。該公司提供的基於軟件的商業選項可以直接安裝到亞馬遜圖像中，或者作為VMware圖像直接導入到EC2中。其他的開源選項有Openwall，提供了防火牆功能以及其他的安全選項，可以當做虛擬機安裝，然後導入到亞馬遜中。