Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Netzwerkkonto
<a name="networking-account"></a>

Das Netzwerkkonto dient als zentraler Knotenpunkt für das Netzwerk-Routing zwischen AMS-Landingzone-Konten mit mehreren Konten, Ihrem lokalen Netzwerk und ausgehendem Datenverkehr ins Internet. Darüber hinaus enthält dieses Konto öffentliche DMZ-Bastionen, über die AMS-Techniker auf Hosts in der AMS-Umgebung zugreifen können. Einzelheiten finden Sie im folgenden allgemeinen Diagramm des Netzwerkkontos.

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malzNetworkAccount.png)


# Architektur von Netzwerkkonten
<a name="malz-network-arch"></a>

Das folgende Diagramm zeigt die AMS-Landingzone-Umgebung mit mehreren Konten und zeigt den Netzwerkdatenverkehr zwischen den Konten. Es ist ein Beispiel für eine Konfiguration mit hoher Verfügbarkeit.

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS-Konten, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS konfiguriert alle Netzwerkaspekte für Sie auf der Grundlage unserer Standardvorlagen und der von Ihnen beim Onboarding ausgewählten Optionen. Ein standardmäßiges AWS-Netzwerkdesign wird auf Ihr AWS-Konto angewendet, und eine VPC wird für Sie erstellt und entweder über VPN oder Direct Connect mit AMS verbunden. Weitere Informationen zu Direct Connect finden Sie unter [AWS Direct Connect](https://aws.amazon.com/directconnect/). Zum Standard VPCs gehören die DMZ, Shared Services und ein Anwendungssubnetz. Während des Onboarding-Prozesses VPCs können zusätzliche Informationen angefordert und erstellt werden, die Ihren Anforderungen entsprechen (z. B. Kundenabteilungen, Partner). Nach dem Onboarding erhalten Sie ein Netzwerkdiagramm: ein Umgebungsdokument, das erklärt, wie Ihr Netzwerk eingerichtet wurde.

**Anmerkung**  
Informationen zu Standard-Servicelimits und Einschränkungen für alle aktiven Services finden Sie in der Dokumentation zu [AWS-Servicelimits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

Unser Netzwerkdesign basiert auf dem [„Prinzip der geringsten Rechte“ von](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Um dies zu erreichen, leiten wir den gesamten eingehenden und ausgehenden Verkehr durch eine DMZ, mit Ausnahme des Datenverkehrs, der aus einem vertrauenswürdigen Netzwerk stammt. Das einzige vertrauenswürdige Netzwerk ist das, das zwischen Ihrer lokalen Umgebung und der VPC mithilfe and/or eines VPN und AWS Direct Connect (DX) konfiguriert wurde. Der Zugriff wird durch die Verwendung von Bastion-Instances gewährt, wodurch ein direkter Zugriff auf Produktionsressourcen verhindert wird. Alle Ihre Anwendungen und Ressourcen befinden sich in privaten Subnetzen, die über öffentliche Load Balancer erreichbar sind. Öffentlicher Ausgangsverkehr fließt über die NAT-Gateways in der Ausgangs-VPC (im Netzwerkkonto) zum Internet Gateway und dann zum Internet. Alternativ kann der Datenverkehr über Ihr VPN oder Direct Connect in Ihre lokale Umgebung fließen. 

# Private Netzwerkkonnektivität zur AMS-Landezonenumgebung mit mehreren Konten
<a name="malz-net-arch-private-net"></a>

AWS bietet private Konnektivität entweder über VPN-Konnektivität (Virtual Private Network) oder über Standleitungen mit AWS Direct Connect. Die private Konnektivität in Ihrer Umgebung mit mehreren Konten wird mit einer der im Folgenden beschriebenen Methoden eingerichtet:
+ Zentralisierte Edge-Konnektivität mit Transit Gateway
+ Direct Connect (DX) and/or VPN mit virtuellen privaten Clouds verbinden (VPCs)

# Zentralisierte Edge-Konnektivität mit Transit Gateway
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway ist ein Service, mit dem Sie Ihre VPCs und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Transit Gateway (TGW) kann verwendet werden, um Ihre bestehende Edge-Konnektivität zu konsolidieren und sie über einen einzigen ingress/egress Punkt weiterzuleiten. Das Transit-Gateway wird im Netzwerkkonto Ihrer AMS-Umgebung mit mehreren Konten erstellt. Weitere Informationen zu Transit Gateway finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).

Das AWS Direct Connect (DX) -Gateway wird verwendet, um Ihre DX-Verbindung über eine virtuelle Transitschnittstelle mit dem VPCs oder VPNs , die an Ihr Transit-Gateway angeschlossen sind, zu verbinden. Sie ordnen ein Direct-Connect-Gateway dem Transit Gateway zu. Erstellen Sie anschließend eine virtuelle Transitschnittstelle für Ihre AWS Direct Connect Connect-Verbindung zum Direct Connect-Gateway. Informationen zu virtuellen DX-Schnittstellen finden Sie unter [Virtuelle Schnittstellen von AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).

Diese Konfiguration bietet die folgenden Vorteile. Sie haben folgende Möglichkeiten:
+ Verwalten Sie eine einzelne Verbindung für mehrere VPCs oder VPNs , die sich in derselben AWS-Region befinden.
+ Werben Sie für Präfixe von On-Premise zu AWS und von AWS zu On-Premise.

**Anmerkung**  
[Informationen zur Verwendung eines DX mit AWS-Services finden Sie im Abschnitt Classic im Resiliency Toolkit.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Weitere Informationen finden Sie unter [Transit Gateway Gateway-Verknüpfungen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-cent-edge.png)


Um die Stabilität Ihrer Konnektivität zu erhöhen, empfehlen wir, dass Sie mindestens zwei virtuelle Transitschnittstellen von verschiedenen AWS Direct Connect Connect-Standorten an das Direct Connect-Gateway anschließen. Weitere Informationen finden Sie in der [AWS Direct Connect Connect-Resilienzempfehlung](https://aws.amazon.com/directconnect/resiliency-recommendation/).

# DX oder VPN mit dem Konto verbinden VPCs
<a name="malz-net-arch-dx-vpn"></a>

Mit dieser Option werden die landing zone Zone-Umgebungen VPCs in Ihrem AMS mit mehreren Konten direkt mit Direct Connect oder VPN verbunden. Der Datenverkehr fließt direkt von Direct Connect oder VPN, ohne das Transit-Gateway zu passieren. VPCs 

# Ressourcen im Netzwerkkonto
<a name="networking-account-resources"></a>

Wie im Netzwerkkontodiagramm dargestellt, werden die folgenden Komponenten im Konto erstellt und erfordern Ihre Eingabe.

**Das Netzwerkkonto enthält zwei VPCs: **Egress VPC und DMZ VPC****, auch bekannt als Perimeter-VPC**.**

# AWS-Netzwerkmanager
<a name="networking-manager"></a>

AWS Network Manager ist ein Service, mit dem Sie Ihre Transit-Gateway-Netzwerke (TGW) ohne zusätzliche Kosten für AMS visualisieren können. Es bietet eine zentrale Netzwerküberwachung sowohl für AWS-Ressourcen als auch für lokale Netzwerke, eine zentrale globale Ansicht ihres privaten Netzwerks in einem Topologiediagramm und auf einer geografischen Karte sowie Nutzungsmetriken wie den in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Byte-Verbindungsstatus. Weitere Informationen finden Sie unter [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).

Verwenden Sie eine der folgenden Rollen, um auf diese Ressource zuzugreifen:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# Ausgangs-VPC
<a name="networking-vpc"></a>

Die Egress-VPC wird hauptsächlich für den ausgehenden Datenverkehr ins Internet verwendet und besteht aus public/private Subnetzen in bis zu drei Verfügbarkeitszonen (). AZs Network Address Translation (NAT) -Gateways werden in den öffentlichen Subnetzen bereitgestellt, und Transit Gateway (TGW) VPC-Anlagen werden in den privaten Subnetzen erstellt. Ausgehender oder ausgehender Internetverkehr aus allen Netzwerken wird über TGW durch das private Subnetz geleitet, wo er dann über VPC-Routing-Tabellen an ein NAT weitergeleitet wird.

Für Sie VPCs , die öffentlich zugängliche Anwendungen in einem öffentlichen Subnetz enthalten, ist der aus dem Internet stammende Datenverkehr in dieser VPC enthalten. Rückverkehr wird nicht an die TGW- oder Egress-VPC weitergeleitet, sondern über das Internet-Gateway (IGW) in der VPC zurückgeleitet.

**Anmerkung**  
Netzwerk-VPC-CIDR-Bereich: Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.16.0/24. Dies ist der primäre CIDR-Block für Ihre VPC.  
Das AMS Multi-Account-Landingzone-Team empfiehlt den Bereich 24 (mit mehr IP-Adressen), um einen gewissen Puffer für den Fall bereitzustellen, dass in future andere Ressourcen/Appliances eingesetzt werden.

# Verwaltete Palo Alto-Ausgangsfirewall
<a name="networking-palo-alto"></a>

AMS bietet eine Managed Palo Alto Egress Firewall-Lösung, die das Filtern von ausgehendem Internetverkehr für alle Netzwerke in der Multi-Account Landing Zone-Umgebung (mit Ausnahme von öffentlich zugänglichen Diensten) ermöglicht. Diese Lösung kombiniert die branchenführende Firewall-Technologie (Palo Alto VM-300) mit den Infrastrukturmanagementfunktionen von AMS zur Bereitstellung, Überwachung, Verwaltung, Skalierung und Wiederherstellung der Infrastruktur in konformen Betriebsumgebungen. Dritte, einschließlich Palo Alto Networks, haben keinen Zugriff auf die Firewalls. Sie werden ausschließlich von AMS-Technikern verwaltet.

## Steuerung des Verkehrs
<a name="networking-pa-firewall-traffic"></a>

Die verwaltete Firewall-Lösung für ausgehenden Datenverkehr verwaltet eine Domain-Zulassungsliste, die aus AMS-erforderlichen Domänen für Dienste wie Backup und Patch sowie aus Ihren definierten Domänen besteht. Wenn ausgehender Internetverkehr an die Firewall weitergeleitet wird, wird eine Sitzung geöffnet, der Datenverkehr wird ausgewertet, und wenn er einer zulässigen Domain entspricht, wird der Datenverkehr an das Ziel weitergeleitet.

## Architektur
<a name="networking-pa-firewall-arch"></a>

Die verwaltete Firewall-Lösung für ausgehenden Datenverkehr folgt einem Hochverfügbarkeitsmodell, bei dem je nach Anzahl der Verfügbarkeitszonen () zwei bis drei Firewalls eingesetzt werden. AZs Die Lösung nutzt einen Teil des IP-Bereichs der Standard-Ausgangs-VPC, stellt aber auch eine VPC-Erweiterung (/24) für zusätzliche Ressourcen bereit, die für die Verwaltung der Firewalls erforderlich sind.

![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)


## Netzwerkfluss
<a name="networking-pa-firewall-flow"></a>

![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)


![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)


Auf hoher Ebene bleibt das Routing des öffentlichen ausgehenden Datenverkehrs unverändert, mit Ausnahme der Art und Weise, wie der Datenverkehr von der ausgehenden VPC ins Internet geleitet wird:

1. Ausgangsverkehr, der für das Internet bestimmt ist, wird über die VPC-Routentabelle an das Transit Gateway (TGW) gesendet

1. TGW leitet den Verkehr über die TGW-Routentabelle an die Ausgangs-VPC weiter

1. VPC leitet den Verkehr über die Routentabellen des privaten Subnetzes ins Internet weiter.

   1. In der standardmäßigen Multi-Account-Landingzone-Umgebung wird der Internetverkehr direkt an ein NAT-Gateway (Network Address Translation) gesendet. Die verwaltete Firewall-Lösung konfiguriert die Routing-Tabellen für private Subnetze neu, sodass die Standardroute (0.0.0.0/0) stattdessen auf eine Firewall-Schnittstelle verweist.

Die Firewalls selbst enthalten drei Schnittstellen:

1. Vertrauenswürdige Schnittstelle: Private Schnittstelle für den Empfang von Datenverkehr, der verarbeitet werden soll.

1. Nicht vertrauenswürdige Schnittstelle: Öffentliche Schnittstelle zum Senden von Datenverkehr ins Internet. Da die Firewalls NAT ausführen, akzeptieren externe Server Anfragen von diesen öffentlichen IP-Adressen.

1. Verwaltungsschnittstelle: Private Schnittstelle für Firewall-API, Updates, Konsole usw.

Während des gesamten Routings wird der Verkehr innerhalb derselben Availability Zone (AZ) aufrechterhalten, um den AZ-übergreifenden Verkehr zu reduzieren. Der Verkehr wird nur dann überquert AZs , wenn ein Failover auftritt.

## Änderung der Zulassungsliste
<a name="networking-pa-firewall-allow-list-mod"></a>

Nach dem Onboarding `ams-allowlist` wird eine standardmäßige Zulassungsliste mit dem Namen erstellt, die für AMS erforderliche öffentliche Endpunkte sowie öffentliche Endpunkte für das Patchen von Windows- und Linux-Hosts enthält. Sobald der Betrieb abgeschlossen ist, können Sie in der AMS-Konsole unter der Kategorie Management \$1 Managed Firewall \$1 Outbound (Palo Alto) RFCs erstellen, um Zulassungslisten zu erstellen oder zu löschen oder die Domänen zu ändern. Beachten Sie, dass dies nicht geändert werden kann. `ams-allowlist` Die RFCs werden vollständig automatisiert behandelt (sie sind nicht manuell). 

## Benutzerdefinierte Sicherheitsrichtlinie
<a name="networking-pa-firewall-custom-security"></a>

Sicherheitsrichtlinien bestimmen anhand von Datenverkehrsattributen wie der Quell- und Zielsicherheitszone, der Quell- und Ziel-IP-Adresse und dem Dienst, ob eine Sitzung blockiert oder zugelassen wird. Benutzerdefinierte Sicherheitsrichtlinien werden vollständig automatisiert unterstützt RFCs. CTs Informationen zum Erstellen oder Löschen von Sicherheitsrichtlinien finden Sie in der Kategorie Management \$1 Managed Firewall \$1 Outbound (Palo Alto). Das CT zum Bearbeiten einer vorhandenen Sicherheitsrichtlinie finden Sie unter der Kategorie Bereitstellung \$1 Managed Firewall \$1 Outbound (Palo Alto). Sie können neue Sicherheitsrichtlinien erstellen, Sicherheitsrichtlinien ändern oder Sicherheitsrichtlinien löschen.

**Anmerkung**  
Die Standardsicherheitsrichtlinie `ams-allowlist` kann nicht geändert werden

## CloudWatch PA-Dashboards für ausgehenden Datenverkehr
<a name="networking-pa-firewall-cw-egress"></a>

Zwei Dashboards bieten eine aggregierte Ansicht von Palo Alto (PA). Das **AMS-MF-PA-Egress-Config-Dashboard** bietet eine Übersicht über die PA-Konfiguration, Links zu Zulassungslisten und eine Liste aller Sicherheitsrichtlinien einschließlich ihrer Attribute. CloudWatch Das **AMS-MF-PA-Egress-Dashboard** kann so angepasst werden, dass Verkehrsprotokolle gefiltert werden. Um beispielsweise ein Dashboard für eine Sicherheitsrichtlinie zu erstellen, können Sie einen RFC mit einem Filter wie dem folgenden erstellen:

```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like /<Security Policy Name>/
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```

## Failover-Modell
<a name="networking-pa-firewall-failover"></a>

Die Firewall-Lösung umfasst zwei bis drei Palo Alto (PA) -Hosts (einer pro AZ). Healthy Check Canaries wird nach einem konstanten Zeitplan ausgeführt, um den Zustand der Hosts zu bewerten. Wenn ein Host als fehlerhaft identifiziert wird, wird AMS benachrichtigt, und der Datenverkehr für diese AZ wird durch Änderung der Routing-Tabelle automatisch auf einen fehlerfreien Host in einer anderen AZ umgeleitet. Da der Workflow zur Integritätsprüfung ständig ausgeführt wird, wird der Datenverkehr wieder auf die richtige AZ mit dem fehlerfreien Host umgeleitet, wenn der Host aufgrund vorübergehender Probleme oder manueller Behebung wieder funktionsfähig ist.

## Skalierung
<a name="networking-pa-firewall-scaling"></a>

AMS überwacht die Firewall auf Durchsatz- und Skalierungsgrenzen. Wenn die Durchsatzgrenzen die unteren Schwellenwerte (CPU/Netzwerk) überschreiten, erhält AMS eine Warnung. Ein niedriger Schwellenwert deutet darauf hin, dass die Ressourcen fast ausgelastet sind und ein Punkt erreicht ist, an dem AMS die Messwerte im Laufe der Zeit auswertet und Skalierungslösungen vorschlägt.

## Backup und Backup
<a name="networking-pa-firewall-backup"></a>

Backups werden beim ersten Start, nach allen Konfigurationsänderungen und in regelmäßigen Abständen erstellt. Beim ersten Start werden Backups pro Host erstellt, aber Konfigurationsänderungen und regelmäßige Intervall-Backups werden auf allen Firewall-Hosts durchgeführt, wenn der Backup-Workflow aufgerufen wird. AMS-Techniker können zusätzliche Backups außerhalb dieser Fenster erstellen oder auf Anfrage Backup-Details bereitstellen.

AMS-Techniker können bei Bedarf die Wiederherstellung von Konfigurations-Backups durchführen. Wenn eine Wiederherstellung erforderlich ist, erfolgt sie auf allen Hosts, um die Konfiguration zwischen den Hosts synchron zu halten.

Eine Wiederherstellung kann auch erfolgen, wenn ein Host eine Instanz vollständig recyceln muss. Eine automatische Wiederherstellung des neuesten Backups erfolgt, wenn eine neue EC2 Instanz bereitgestellt wird. Im Allgemeinen werden Hosts nicht regelmäßig recycelt und sind für schwerwiegende Ausfälle oder erforderliche AMI-Swaps reserviert. Host-Wiederverwendungen werden manuell initiiert, und Sie werden benachrichtigt, bevor eine Wiederverwertung stattfindet.

Abgesehen von den Backups der Firewall-Konfiguration werden Ihre spezifischen Regeln für die Zulassungsliste separat gesichert. Eine Sicherungskopie wird automatisch erstellt, wenn Ihre definierten Regeln für die Zulassungsliste geändert werden. Die Wiederherstellung der Sicherungskopie auf der Zulassungsliste kann bei Bedarf von einem AMS-Techniker durchgeführt werden.

## Aktualisierungen
<a name="networking-pa-firewall-updates"></a>

Die AMS Managed Firewall Solution erfordert im Laufe der Zeit verschiedene Updates, um das System zu verbessern, zusätzliche Funktionen hinzuzufügen oder das Firewall-Betriebssystem (OS) oder die Firewall-Software zu aktualisieren.

Die meisten Änderungen wirken sich nicht auf die Betriebsumgebung aus, z. B. die Aktualisierung der Automatisierungsinfrastruktur. Andere Änderungen wie die Rotation der Firewall-Instanz oder das Betriebssystem-Update können jedoch zu Störungen führen. Wenn eine mögliche Betriebsunterbrechung aufgrund von Updates bewertet wird, stimmt sich AMS mit Ihnen ab, um die Wartungsfenster zu berücksichtigen.

## Zugriff durch den Bediener
<a name="networking-pa-firewall-op-access"></a>

AMS-Betreiber verwenden ihre ActiveDirectory Anmeldeinformationen, um sich beim Palo Alto-Gerät anzumelden, um Operationen durchzuführen (z. B. Patchen, Reagieren auf ein Ereignis usw.). Die Lösung behält die standardmäßigen AMS-Operator-Authentifizierungs- und Konfigurationsänderungsprotokolle bei, um die auf den Palo Alto-Hosts ausgeführten Aktionen nachzuverfolgen.

## Standardprotokolle
<a name="networking-pa-firewall-default-logs"></a>

Standardmäßig befinden sich die von der Firewall generierten Protokolle für jede Firewall im lokalen Speicher. Im Laufe der Zeit werden lokale Protokolle je nach Speicherauslastung gelöscht. Die AMS-Lösung ermöglicht den Versand von Protokollen von den Maschinen in Echtzeit an CloudWatch Protokolle. Weitere Informationen finden Sie unter[CloudWatch Integration von Protokollen](#networking-pa-firewall-cw-logs).

Die AMS-Techniker haben weiterhin die Möglichkeit, Protokolle bei Bedarf direkt von den Maschinen abzufragen und zu exportieren. Darüber hinaus können Protokolle an ein kundeneigenes Panorama gesendet werden. Weitere Informationen finden Sie unter[Panoramaintegration](#networking-pa-firewall-panorama).

Die Lösung erfasst die folgenden Protokolle:


**RFC-Statuscodes**  

| Protokolltyp | Beschreibung | 
| --- | --- | 
| Datenverkehr | Zeigt einen Eintrag für den Start und das Ende jeder Sitzung an. Jeder Eintrag enthält Datum und Uhrzeit, Quell- und Zielzonen, Adressen und Ports, den Namen der Anwendung, den Namen der auf den Flow angewendeten Sicherheitsregel, die Regelaktion (Zulassen, Verweigern oder Löschen), die Eingangs- und Ausgangsschnittstelle, die Anzahl der Byte und den Grund für das Sitzungsende. In der Spalte Typ wird angegeben, ob der Eintrag für den Beginn oder das Ende der Sitzung bestimmt ist oder ob die Sitzung verweigert oder abgebrochen wurde. Ein „Drop“ bedeutet, dass die Sicherheitsregel, die den Datenverkehr blockiert hat, eine „beliebige“ Anwendung angegeben hat, während ein „Deny“ bedeutet, dass die Regel eine bestimmte Anwendung identifiziert hat. Wenn der Datenverkehr unterbrochen wird, bevor die Anwendung identifiziert wurde, z. B. wenn eine Regel den gesamten Datenverkehr für einen bestimmten Dienst blockiert, wird die Anwendung als „nicht zutreffend“ angezeigt. | 
| Bedrohung | Zeigt einen Eintrag für jeden von der Firewall generierten Sicherheitsalarm an. Jeder Eintrag enthält Datum und Uhrzeit, einen Namen oder eine URL der Bedrohung, die Quell- und Zielzonen, Adressen und Ports, den Namen der Anwendung sowie die Alarmaktion (zulassen oder blockieren) und den Schweregrad. In der Spalte Typ wird die Art der Bedrohung angegeben, z. B. „Virus“ oder „Spyware“, in der Spalte Name die Beschreibung oder URL der Bedrohung und in der Spalte Kategorie die Bedrohungskategorie (z. B. „Keylogger“) oder URL-Kategorie. | 
| URL-Filterung | Zeigt Protokolle für URL-Filter an, die den Zugriff auf Websites kontrollieren und festlegen, ob Benutzer Anmeldeinformationen an Websites senden können. | 
| Konfiguration | Zeigt für jede Konfigurationsänderung einen Eintrag an. Jeder Eintrag enthält Datum und Uhrzeit, den Administratorbenutzernamen, die IP-Adresse, von der aus die Änderung vorgenommen wurde, den Clienttyp (Webinterface oder CLI), die Art der Befehlsausführung, ob der Befehl erfolgreich war oder nicht, den Konfigurationspfad und die Werte vor und nach der Änderung. | 
| System (System) | Zeigt einen Eintrag für jedes Systemereignis an. Jeder Eintrag enthält Datum und Uhrzeit, den Schweregrad des Ereignisses und eine Beschreibung des Ereignisses. | 
| Alarme | Das Alarmprotokoll zeichnet detaillierte Informationen zu Alarmen auf, die vom System generiert werden. Die Informationen in diesem Protokoll werden auch unter Alarme gemeldet. Weitere Informationen finden Sie unter „Alarmeinstellungen definieren“. | 
| Authentifizierung | Zeigt Informationen zu Authentifizierungsereignissen an, die auftreten, wenn Endbenutzer versuchen, auf Netzwerkressourcen zuzugreifen, deren Zugriff durch Authentifizierungsrichtlinienregeln gesteuert wird. Benutzer können diese Informationen verwenden, um Zugriffsprobleme zu beheben und die Benutzerauthentifizierungsrichtlinie nach Bedarf anzupassen. In Verbindung mit Korrelationsobjekten können Benutzer auch Authentifizierungsprotokolle verwenden, um verdächtige Aktivitäten im Netzwerk des Benutzers zu identifizieren, z. B. Brute-Force-Angriffe. Optional können Benutzer Authentifizierungsregeln so konfigurieren, dass Authentifizierungs-Timeouts protokolliert werden. Diese Timeouts beziehen sich auf den Zeitraum, in dem sich ein Benutzer nur einmal für eine Ressource authentifizieren muss, aber wiederholt darauf zugreifen kann. Anhand von Informationen zu den Timeouts können Benutzer entscheiden, ob und wie sie angepasst werden sollen. | 
| Vereinheitlicht | Zeigt die neuesten Protokolleinträge für Verkehr, Bedrohung, URL-Filterung, WildFire Übermittlungen und Datenfilterung in einer einzigen Ansicht an. Die kollektive Protokollansicht ermöglicht es Benutzern, diese verschiedenen Protokolltypen gemeinsam zu untersuchen und zu filtern (anstatt jeden Protokollsatz einzeln zu durchsuchen). Oder Benutzer können wählen, welche Protokolltypen angezeigt werden sollen: Klicken Sie auf den Pfeil links neben dem Filterfeld und wählen Sie Traffic, Bedrohung, URL, Daten, and/or Wildfire aus, um nur die ausgewählten Protokolltypen anzuzeigen. | 

## Verwaltung von Ereignissen
<a name="networking-pa-firewall-event-mgmt"></a>

AMS überwacht kontinuierlich die Kapazität, den Zustand und die Verfügbarkeit der Firewall. Von der Firewall generierte Metriken sowie AWS/AMS generierte Metriken werden verwendet, um Alarme zu erstellen, die von den Betriebstechnikern von AMS empfangen werden, die das Problem untersuchen und lösen. Die aktuellen Alarme decken die folgenden Fälle ab:

Ereignisalarme:
+ CPU-Auslastung der Firewall-Datenebene
  + CPU-Auslastung — CPU der Datenebene (Verarbeitung des Datenverkehrs)
+ Die Auslastung der Firewall-Pakete auf Datenebene liegt bei über 80%
  + Paketauslastung — Datenebene (Verarbeitung des Datenverkehrs)
+ Nutzung der Firewall-Sitzung auf der Datenebene
+ Firewall-Datenebene-Sitzung aktiv
+ Aggregierte Firewall-CPU-Auslastung
  + CPU-Auslastung für alle CPUs
+ Failover von AZ
  + Alarmt, wenn in einer AZ ein Failover auftritt
+ Ungesunder Syslog-Host
  + Der Syslog-Host schlägt die Integritätsprüfung fehl

Management-Alarme:
+ Ausfallalarm des Health Check Monitors
  + Wenn der Workflow zur Integritätsprüfung unerwartet fehlschlägt
  + Dies gilt für den Workflow selbst, nicht für den Fall, dass eine Firewall-Integritätsprüfung fehlschlägt
+ Alarm bei Ausfall der Passwortrotation
  + Wenn die Passwortrotation fehlschlägt
  + Das API-/Service-Benutzerkennwort wird alle 90 Tage gewechselt

## Metriken
<a name="networking-pa-firewall-metrics"></a>

Alle Metriken werden erfasst und CloudWatch im Netzwerkkonto gespeichert. Diese können angezeigt werden, indem Sie Konsolenzugriff auf das Netzwerkkonto erhalten und zur CloudWatch Konsole navigieren. **Einzelne Metriken können auf der Registerkarte Metriken oder in einer einzigen Dashboard-Ansicht mit ausgewählten Metriken angezeigt werden. Aggregierte Metriken können angezeigt werden, indem Sie zur Registerkarte Dashboard navigieren und AMS-MF-PA-Egress-Dashboard auswählen.** 

Benutzerdefinierte Metriken:
+ Zustandsprüfung
  + Namespace: AMS/MF/PA/Egress
    + PARouteTableConnectionsByA-Z
    + PAUnhealthyByInstance
    + PAUnhealthyAggregatedByAZ
    + PAHealthCheckLockState
+ Firewall generiert
  + Namespace:/AMS/MF/PA/Egress<instance-id>
    + DataPlaneCPUUtilizationPakt
    + DataPlanePacketBuffferUtilization
    + Pfanne GPGateway UtilizationPct
    + panSessionActive
    + panSessionUtilization

## CloudWatch Integration von Protokollen
<a name="networking-pa-firewall-cw-logs"></a>

CloudWatch Durch die Integration von Protokollen werden Protokolle von den Firewalls in Logs weitergeleitet, wodurch das Risiko des Verlusts von CloudWatch Protokollen aufgrund der lokalen Speichernutzung verringert wird. Protokolle werden in Echtzeit ausgefüllt, sobald sie von den Firewalls generiert werden, und können bei Bedarf über die Konsole oder API eingesehen werden.

Komplexe Abfragen können für die Protokollanalyse erstellt oder mit CloudWatch Insights als CSV exportiert werden. Darüber hinaus bietet das benutzerdefinierte AMS Managed CloudWatch Firewall-Dashboard auch eine Schnellansicht bestimmter Verkehrsprotokollabfragen und eine grafische Darstellung der Zugriffe und der Richtlinieneinflüsse im Zeitverlauf. Die Verwendung von CloudWatch Protokollen ermöglicht auch die native Integration in andere AWS-Services wie AWS Kinesis.

**Anmerkung**  
PA-Protokolle können nicht direkt an einen vorhandenen lokalen Syslog-Collector oder einen Syslog-Collector eines Drittanbieters weitergeleitet werden. Die AMS Managed Firewall-Lösung ermöglicht den Versand von Protokollen von den PA-Maschinen in Echtzeit an AWS CloudWatch Logs. Sie können die CloudWatch Logs Insight-Funktion verwenden, um Ad-hoc-Abfragen auszuführen. Darüber hinaus können Protokolle an die Panorama-Managementlösung Ihres Palo Alto gesendet werden. CloudWatch Protokolle können mithilfe von CloudWatch Abonnementfiltern auch an andere Ziele weitergeleitet werden. Erfahren Sie im folgenden Abschnitt mehr über Panorama. Weitere Informationen über Splunk finden Sie unter [Integration mit](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html) Splunk.

## Panoramaintegration
<a name="networking-pa-firewall-panorama"></a>

AMS Managed Firewall kann optional in Ihr bestehendes Panorama integriert werden. Auf diese Weise können Sie Firewallkonfigurationen von Panorama aus anzeigen oder Protokolle von der Firewall an das Panorama weiterleiten. Die Panorama-Integration mit AMS Managed Firewall ist schreibgeschützt, und Konfigurationsänderungen an den Firewalls von Panorama aus sind nicht zulässig. Panorama wird vollständig von Ihnen verwaltet und konfiguriert. AMS ist nur für die Konfiguration der Firewalls für die Kommunikation mit dem System verantwortlich.

## Lizenzen
<a name="networking-pa-firewall-license"></a>

Der Preis der AMS Managed Firewall hängt von der Art der verwendeten Lizenz (stündlich oder Bring Your Own License, BYOL) und der Instanzgröße ab, in der die Appliance ausgeführt wird. Sie müssen die Instance-Größe und die Lizenzen der Palo Alto-Firewall, die Sie bevorzugen, über den AWS Marketplace bestellen.
+ Marketplace-Lizenzen: Akzeptieren Sie die Allgemeinen Geschäftsbedingungen des VM-Series Next-Generation Firewall Bundle 1 über das Netzwerkkonto in MALZ.
+ BYOL-Lizenzen: Akzeptieren Sie die Nutzungsbedingungen der VM-Series Next-Generation Firewall (BYOL) über das Netzwerkkonto in MALZ und geben Sie den „BYOL-Authentifizierungscode“, den Sie nach dem Kauf der Lizenz erhalten haben, an AMS weiter.

## Einschränkungen
<a name="networking-pa-firewall-limits"></a>

Derzeit unterstützt AMS Firewalls der Serien VM-300 oder VM-500. Konfigurationen finden Sie hier: [Modelle der VM-Serie auf EC2 AWS-Instances](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html),

**Anmerkung**  
Die AMS-Lösung wird im Active-Active-Modus ausgeführt, da jede PA-Instance in ihrer AZ den ausgehenden Datenverkehr für ihre jeweilige AZ abwickelt. Bei zwei AZs Instanzen verarbeitet jede PA-Instance also ausgehenden Datenverkehr mit bis zu 5 Gbit/s und bietet effektiv einen Gesamtdurchsatz von 10 Gbit/s über zwei. AZs Das Gleiche gilt für alle Grenzwerte in jeder AZ. Sollte die AMS-Zustandsprüfung fehlschlagen, verlagern wir den Verkehr von der AZ mit der fehlerhaften PA auf eine andere AZ, und beim Austausch der Instance wird die Kapazität auf die verbleibenden AZs Grenzwerte reduziert.  
AMS unterstützt derzeit keine anderen Palo Alto-Pakete, die auf dem AWS Marketplace erhältlich sind. Sie können beispielsweise nicht nach dem „VM-Series Next-Generation Firewall Bundle 2“ fragen. Beachten Sie, dass die AMS Managed Firewall-Lösung, die Palo Alto verwendet, derzeit nur ein Angebot zur Filterung des ausgehenden Datenverkehrs bietet, sodass die Verwendung erweiterter Pakete der VM-Serie keine zusätzlichen Funktionen oder Vorteile bieten würde.

## Anforderungen für das Onboarding
<a name="networking-pa-firewall-onboarding-reqs"></a>
+ Sie müssen die Allgemeinen Geschäftsbedingungen der VM-Series Next-Generation Firewall von Palo Alto im AWS Marketplace lesen und akzeptieren.
+ Sie müssen die Instance-Größe, die Sie verwenden möchten, auf der Grundlage Ihrer erwarteten Arbeitslast bestätigen.
+ Sie müssen einen /24-CIDR-Block angeben, der nicht zu Konflikten mit Netzwerken in Ihrer Multi-Account-Landing Zone-Umgebung oder vor Ort führt. Sie muss derselben Klasse angehören wie die Egress-VPC (die Lösung stellt eine /24-VPC-Erweiterung für die Egress-VPC VPC).

## Preise
<a name="networking-pa-firewall-pricing"></a>

Die Basiskosten für die Infrastruktur von AMS Managed Firewall sind in drei Hauptfaktoren aufgeteilt: die EC2 Instanz, die die Palo Alto-Firewall hostet, die Softwarelizenz, die Lizenzen der Palo Alto VM-Serie und Integrationen. CloudWatch 

Die folgenden Preise basieren auf der Firewall der Serie VM-300.
+ EC2 Instanzen: Die Palo Alto-Firewall wird in einem Hochverfügbarkeitsmodell mit 2-3 EC2 Instanzen ausgeführt, wobei die Instanz auf den erwarteten Workloads basiert. Die Kosten für die Instanz hängen von der Region und der Anzahl der ab AZs
  + Bsp. us-east-1, m5.xlarge, 3 AZs
    + 0,192\$1 \$1 24 \$1 30 \$1 3 = 414,72\$1
  + https://aws.amazon.com/ec2/Preise/auf Abfrage/
+ Palo Alto-Lizenzen: Die Softwarelizenzkosten einer Palo Alto VM-300-Firewall der nächsten Generation hängen von der Anzahl der AZ sowie vom Instanztyp ab.
  + Bsp. us-east-1, m5.xlarge, 3 AZs
    + 0,87\$1 \$1 24 \$1 30 \$1 3 = 1879,20\$1
    + https://aws.amazon.com/marketplace/PP/B083M7JPKB? ref\$1=srh\$1res\$1product\$1title \$1pdp -Preisgestaltung
+ CloudWatch Integration von Protokollen: Die Protokollintegration nutzt SysLog Server (- t3.medium), NLB und CloudWatch Protokolle. EC2 CloudWatch Die Kosten für die Server hängen von der Region und der Anzahl der Server ab AZs, und die Kosten für die NLB/CloudWatch Protokolle variieren je nach Auslastung des Datenverkehrs.
  + Bsp. us-east-1, t3.medium, 3AZ
    + 0,0416\$1 \$1 24 \$1 30 \$1 3 = 89,86\$1
  + https://aws.amazon.com/ec2/Preise/auf Abfrage/
  + https://aws.amazon.com/cloudwatch/Preisgestaltung/

# Umkreis (DMZ) VPC
<a name="networking-dmz"></a>

Die Perimeter- oder DMZ-VPC enthält die Ressourcen, die AMS-Betriebsingenieure für den Zugriff auf AMS-Netzwerke benötigen. Es enthält öffentliche Subnetze in 2-3 AZs Bereichen mit SSH-Bastions-Hosts in einer Auto Scaling Scaling-Gruppe (ASG), in die sich die Techniker von AMS Operations einloggen oder einen Tunnel durchqueren können. Die Sicherheitsgruppen, die den DMZ-Bastionen zugeordnet sind, enthalten Port-22-Regeln für eingehenden Datenverkehr von **Amazon** Corp Networks.

*DMZ-VPC-CIDR-Bereich:* Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.16.0/24. Dies ist der primäre CIDR-Block für Ihre VPC. 

**Anmerkung**  
Das AMS-Team empfiehlt den Bereich von 24 (mit mehr IP-Adressen), um einen gewissen Puffer für den Fall bereitzustellen, dass in future andere Ressourcen, wie z. B. eine Firewall, bereitgestellt werden.

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) ist ein Service, mit dem Sie Ihre Amazon Virtual Private Clouds (VPCs) und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Transit Gateway ist das Netzwerk-Backbone, das das Routing zwischen AMS-Kontonetzwerken und externen Netzwerken abwickelt. Informationen zu Transit Gateway finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). 

Geben Sie die folgenden Eingaben ein, um diese Ressource zu erstellen: 
+ *Transit Gateway-ASN-Nummer* \$1: Geben Sie die private Autonome Systemnummer (ASN) für Ihr Transit Gateway an. Dabei sollte es sich um die ASN für die AWS-Seite einer BGP-Sitzung (Border Gateway Protocol) handeln. Der Bereich liegt zwischen 64512 und 65534 für 16-Bit. ASNs