Вопрос
Есть ли способ регистрировать соединения, заблокированные сетевым брандмауэром AWS, или фильтровать журналы заблокированных соединений?
Фон
В настоящее время настраиваю правила и хотел бы узнать, какие IP-адреса или домены были заблокированы.
Смотря наВедение журнала сетевого трафика с AWS Network Firewallно не ясно, возможно ли это.
Вы можете записывать журналы потоков и журналы оповещений из вашего сетевого брандмауэра с отслеживанием состояния.
Журналы потоков — это стандартные журналы потоков сетевого трафика. Каждая запись журнала потоков фиксирует сетевой поток для определенного 5-кортежа.
Журналы оповещений сообщают о трафике, который соответствует вашим правилам с отслеживанием состояния, которые имеют действие, отправляющее оповещение. Правило с отслеживанием состояния отправляет оповещения для действий правила DROP и ALERT.
Из журналов потоков не ясно, пройден он или заблокирован.
{
"firewall_name": "network-firewall-sagemaker-studio-anfw",
"availability_zone": "us-east-1a",
"event_timestamp": "1628236046",
"event": {
"timestamp": "2021-08-06T07:47:26.000068+0000",
"flow_id": 1108238612337889,
"event_type": "netflow",
"src_ip": "51.222.5.114",
"src_port": 57528,
"dest_ip": "10.2.2.60",
"dest_port": 8088,
"proto": "TCP",
"netflow": {
"pkts": 1,
"bytes": 40,
"start": "2021-08-06T07:46:24.365793+0000",
"end": "2021-08-06T07:46:24.365793+0000",
"age": 0,
"min_ttl": 239,
"max_ttl": 239
},
"tcp": {
"tcp_flags": "02",
"syn": true
}
}
}
решение1
Вам необходимо настроить брандмауэр на регистрацию типа журнала «Оповещение».
Затем отобразится источник, пункт назначения и действие (например, DROP или ALLOW).
Вот некоторая документация о том, как изменить тип журнала:
https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html