AWS 网络防火墙 - 如何记录被阻止的连接

Question

问题

有没有办法记录被 AWS 网络防火墙阻止的连接，或者过滤被阻止连接的日志？

背景

目前正在设置规则，想知道哪些 IP 或域已被阻止。

查看Logging network traffic from AWS Network Firewall，但不清楚是否可以。

您可以从网络防火墙状态引擎记录流日志和警报日志。
流日志是标准的网络流量流日志。每个流日志记录捕获特定 5 元组的网络流。

警报日志报告与您的有状态规则相匹配的流量，这些规则具有发送警报的操作。有状态规则会针对规则操作 DROP 和 ALERT 发送警报。

从流日志看，是通过还是阻塞，并不清楚。

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    "event": {
        "timestamp": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "netflow": {
            "pkts": 1,
            "bytes": 40,
            "start": "2021-08-06T07:46:24.365793+0000",
            "end": "2021-08-06T07:46:24.365793+0000",
            "age": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "syn": true
        }
    }
}

Answer 1

是的，您可以获取网络日志。

AWS Network Firewall 是一项托管服务，可用于为您的 Amazon Virtual Private Cloud 实例部署必要的网络保护。 AWS Network Firewall 与 AWS Firewall Manager 一起使用，因此您可以根据 AWS Network Firewall 规则构建策略，然后在您的 VPC 和账户中集中应用这些策略。 https://docs.aws.amazon.com/athena/latest/ug/querying-network-firewall-logs.html

如何创建亚马逊 cloudwatch 日志 https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html

AWS 网络防火墙日志记录目标 https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging-destinations.html

Answer 2

在您的防火墙中，日志配置。请为Alerts 启用日志，然后您可以选择应该发送警报（来自被阻止请求的日志）的位置。您将拥有 s3 或 cloudwatch 日志组等选项。 祝你好运。