云網(wǎng)絡(luò)安全：AWS防火墻選擇

防火墻是網(wǎng)絡(luò)安全的核心部分且日趨復(fù)雜，始終與企業(yè)面臨的不斷變化的威脅抗?fàn)�。更新的防火墻能夠分析網(wǎng)絡(luò)流量行為、協(xié)議以及應(yīng)用層數(shù)據(jù)。然而，當(dāng)將資源轉(zhuǎn)移到亞馬遜云上時，企業(yè)可能會發(fā)現(xiàn)沒有相同數(shù)量和類型的的防火墻可供選擇。在這篇技巧中，我們將會針對云網(wǎng)絡(luò)安全，調(diào)查AWS內(nèi)置的防火墻、第三方的防火墻以及開源防火墻。

AWS防火墻

內(nèi)置的AWS防火墻對于信息安全專家來說還有許多待改進之處。為了在EC2內(nèi)創(chuàng)建防火墻規(guī)則，企業(yè)可以創(chuàng)建“安全群組。”這些群組描繪了應(yīng)用于EC2的防火墻規(guī)則集，每一個群組僅允許企業(yè)配置入站規(guī)則。對于使用亞馬遜虛擬私有云（VPC）服務(wù)的用戶來說，可以創(chuàng)建入站和出站規(guī)則，但是有云VPC服務(wù)高昂的成本，會導(dǎo)致這項實施花費更多。

至于檢查能力，AWS防火墻過濾器和IP選項集捆在一起，操縱基本的分組分段（但是允許攻擊者通常阻礙入侵檢測系統(tǒng)所創(chuàng)建的異常片段），且執(zhí)行簡單的狀態(tài)過濾器。然而，在AWS防火墻內(nèi)，對于任何規(guī)則允許未登錄，這是個非常明顯的短處。大多數(shù)網(wǎng)絡(luò)和安全團隊都希望對這些登錄進行入侵檢測和分析，使用單機或者安全事件管理工具。盡管亞馬遜防火墻可能在一些場景中足夠充分，但是安全專業(yè)人士更喜歡選擇的AWS網(wǎng)絡(luò)安全選擇。

針對AWS的第三方防火墻

幾乎沒有第三方的防火墻選項能夠和AWS整合。Check Point已經(jīng)將Check Point Security Gateway R75整合到AWS市場中。這意味著尋求安裝VPC環(huán)境的企業(yè)可以創(chuàng)建新的虛擬Check Point防火墻，并將其整合到企業(yè)的私有云中。

Check Point防火墻表現(xiàn)的更像是傳統(tǒng)的Check Point設(shè)備，提供了狀態(tài)流量檢測和控制功能、應(yīng)用和協(xié)議分析規(guī)則以及VPN連接。Check Point的虛擬設(shè)備能夠同各種亞馬遜實例類型整合，也支持Check Point“軟件刀鋒”功能，這個功能為安全性能集提供了模塊化的方法。Check Point是目前唯一在防火墻領(lǐng)域成熟的廠商產(chǎn)品，能夠完全整合到亞馬遜的市場之中。思科和Juniper在AWS市場上還沒有任何產(chǎn)品，盡管他們都提供虛擬防火墻平臺（分別為ASA 1000v和vGW產(chǎn)品）。

除了Check Point選項意外，企業(yè)在亞馬遜EC2中安裝防火墻要取決于他們自己所使用的開源軟件解決方案。Smoothwall有開源和商業(yè)產(chǎn)品，在單一包中提供了包過濾、Web過濾和電子郵件保護。該公司提供的基于軟件的商業(yè)選項可以直接安裝到亞馬遜圖像中，或者作為VMware圖像直接導(dǎo)入到EC2中。其他的開源選項有Openwall，提供了防火墻功能以及其他的安全選項，可以當(dāng)做虛擬機安裝，然后導(dǎo)入到亞馬遜中。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]