如何 AWS 网络防火墙会话状态复制最大化应用流量的高可用性 安全博客
AWS Network Firewall的会话状态复制如何提升应用流量的高可用性
作者:Tushar Jagdale Amish Shah Jamie Lavigne 和 Vikram Saurabh;日期:2025年2月5日
重点摘要
AWS Network Firewall通过会话状态复制技术,显著增强了应用流量的高可用性。此功能确保在网络防火墙及其后端主机间有效共享连接状态,最大限度地减少流量中断风险。此项服务无需额外操作,默认启用,有助于用户保持网络安全和高效运行。
鲸鱼加速器vip破解版AWS Network Firewall是一种托管的、有状态的网络防火墙和入侵保护服务,可以用于实施防火墙规则,从而精细控制网络流量。通过该服务,用户可以过滤虚拟私有云VPC边缘的流量,包括访问互联网网关、NAT网关、VPN或AWS Direct Connect的流量。在本文中,我们将介绍AWS Network Firewall如何通过会话状态复制来帮助维护应用流量的高可用性。
网络防火墙会话状态复制
Network Firewall使用的有状态引擎根据客户定义的规则应用网络安全策略。在检查有状态流时,Network Firewall在每个连接上维护一个重建的状态,存储在流表中。作为一种分布式服务,Network Firewall使用网关负载均衡器将流量和连接状态分散到多个后端防火墙主机上。
由于自动扩展事件或安装安全和其他服务更新,后端主机可能会被临时下线。在这些操作过程中,若流量中含有长期存在的流,Network Firewall允许这些流在替换主机并重新平衡到新主机之前排空几分钟。
当现有流被重新分配到没有连接状态的新主机上时,连接将根据防火墙策略的配置流异常策略进行处理。Network Firewall可以选择丢弃或拒绝这些连接,或者配置为在没有早期连接上下文的情况下继续应用防火墙策略的规则。这两种选择都会影响安全性:使用丢弃或拒绝操作可以通过强制重新启动和重新检查连接来维持安全,但会导致一些连接中断;而继续操作则需要编写能够接受在中途被破坏连接的防火墙规则。
在2024年12月,AWS引入了Network Firewall在后端主机之间复制会话状态的能力,减少了需要对断开的连接应用流异常策略的情况。如今,大部分故障转移的流量都会分配到已经拥有正确流状态的新主机上,从而使这些连接能够继续无缝运行。此功能默认自动启用,无需用户操作。在极少数情况下,当状态无法自动复制或因为网络中的路由变化而中断连接时,流异常策略仍将继续适用。
图1展示了在更换后端防火墙主机过程中的持久连接事件序列:
一个网络流到达Network Firewall端点,并通过网关负载均衡器转发到防火墙后端主机防火墙主机1。防火墙主机1从网关负载均衡器目标组中注销,这使得网关负载均衡器停止将新流分配给该主机,但仍保持现有流。服务将后端防火墙主机1的剩余会话状态表导出。服务将会话表数据复制到其他健康的后端主机。流量冲刷操作导致网关负载均衡器将主机1上的剩余流重新分配给其他在服务的主机,正在进行的流将继续由防火墙上配置的有状态检查规则进行检查。对于您自己的工作负载,一些关键考虑事项:
事项说明仅适用于有状态引擎此新功能仅适用于防火墙的有状态引擎支持IPv4和IPv6连接状态Network Firewall支持IPv4和IPv6的连接状态不支持非对称路由了解更多信息请访问避免AWS Network Firewall的非对称路由在罕见情况下继续应用流异常策略当状态无法复制或连接因其他原因中断时,配置的流异常策略将继续应用结论
在本文中,我们概述了AWS Network Firewall如何利用在多个后端防火墙主机之间复制连接状态的能力,维护应用流量的高可用性。这个功能对现有客户和新客户默认启用,无需额外费用或配置更改。
要了解有关AWS Network Firewall的更多信息,请参阅AWS Network Firewall的产品页面及服务文档。有关AWS Network Firewall可用的AWS区域,请参阅AWS按区域提供的服务。
如果您对本文有反馈,请在下面的评论部分中提交意见。如果您对本文有疑问,欢迎联系AWS支持。
作者介绍
Tushar JagdaleTushar是AWS的网络架构师专家,专注于网络领域,帮助客户构建及设计可扩展、高可用、安全、韧性、成本效益高的网络,他具有超过15年的数据中心和云网络安全经验。
Amish ShahAmish是一位拥有超过15年经验的资深产品领导者,专注于网络、安全及云应用的创新和扩展解决方案。他目前领导AWS Network Firewall服务,帮助开发保护AWS工作负载的安全解决方案。业余时间,Amish喜欢打板球和足球,热爱旅行,并最近开始收集小众香水。
Vikram SaurabhVikram是一位拥有20年软件工程经验的工程领导者,主要从事防火墙产品和服务的构建。目前他领导AWS Network Firewall工程团队,曾负责Route53 DNS Firewall的工程团队。业余爱好包括打板球、徒步和解数学题。
Jamie LavigneJamie是AWS的一名首席软件开发工程师,拥有超过10年的经验,专注于构建和运营高度弹性的网络安全服务。自AWS Network Firewall成立以来,Jamie一直是其技术负责人,持续确保该服务满足其客户的安全、合规及可用性需求。
标签:AWS Network Firewall,安全博客
鲸鱼加速器官网,致力于实现全球连线,只需一键轻松提升您的网络体验。无论身处何地,畅享高速、稳定的网络连接,为您提供无忧的上网体验。