本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 集中式網路防火牆
<a name="firewall"></a>

在防火牆 VPC AWS Network Firewall 中部署。此 VPC 透過託管防火牆，檢查從來源到目的地的流量和來自網際網路的流量，扮演關鍵角色。

## 防火牆規則群組
<a name="firewall-rule-group"></a>

定義自訂規則或使用現有的 AWS 受管規則 來監控和管理從防火牆 VPC 流向網際網路，以及從網際網路流向 VPC 的流量。根據您的需求，建立具狀態或無狀態規則：
+ **狀態規則** – 檢查封包時，會考慮流量流程方向以及與封包相關的其他流量核准。

  此規則群組遵循 Suricata 相容入侵預防系統 (IPS) 要求。如需詳細資訊，請參閱 [Network Firewall 文件](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html)。

  Network Firewall 也支援網域流量篩選。將使用根據標準網路屬性定義的規則來監控所列特定網域的流量，以控制流量流程。
+ **無狀態規則** – Network Firewall 的無狀態規則引擎會分別分析無狀態規則群組的每個封包。網路的防火牆不會考慮內容，例如流量方向或其他相關封包。
+ **AWS 受管規則 規則群組** – 當您使用 Network Firewall 時，您可以存取 AWS 受管規則 規則群組。這些預設的可用規則集合會維持up-to-date security. AWS update 規則群組，以發現的任何新漏洞或威脅為基礎。

## 防火牆政策
<a name="firewall-policy"></a>

建立防火牆政策，此政策會根據您連接至防火牆政策的規則，定義防火牆的監控和保護行為。這些規則可以是您建立的受管規則 AWS ，或是自訂有狀態或無狀態規則。

## 防火牆
<a name="firewall"></a>

在防火牆 VPC 中，使用您定義的防火牆政策建立防火牆。選取防火牆專用的三個子網路 （而非傳輸閘道子網路）。建立防火牆後，記下 Network Firewall 建立的 VPC 端點。

設定 的防火牆 VPC 傳輸閘道子網路目的地`0.0.0.0/0`，將流量路由到這些端點。設定端點時，請確定每個傳輸閘道子網路與其對應的防火牆端點子網路相符。適當的子網路映射有助於確保流量路由和檢查的高可用性。

## 防火牆記錄
<a name="firewall-logging"></a>

為了協助分析網路防火牆封鎖的流量，請啟用防火牆記錄。除了識別未經授權的活動之外，防火牆記錄還可協助您分析 VPC 內外發生的其他活動。