AWS 网络防火墙 - 如何记录被阻止的连接

问题描述 投票:0回答:3

问题

有没有办法记录被AWS网络防火墙阻止的连接,或者过滤被阻止连接的日志?

背景

目前正在设置规则,想知道哪些IP或域已被阻止。

enter image description here

查看从 AWS 网络防火墙记录网络流量,但不清楚是否可能。

您可以从网络防火墙状态引擎记录流日志和警报日志。
流日志是标准网络流量日志。每个流日志记录捕获特定 5 元组的网络流。

警报日志报告与包含发送警报的操作的状态规则相匹配的流量。有状态规则发送规则操作 DROP 和 ALERT 的警报。

从流日志来看,并不清楚是通过还是阻塞。

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    "event": {
        "timestamp": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "netflow": {
            "pkts": 1,
            "bytes": 40,
            "start": "2021-08-06T07:46:24.365793+0000",
            "end": "2021-08-06T07:46:24.365793+0000",
            "age": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "syn": true
        }
    }
}
amazon-web-services amazon-vpc
3个回答
0
投票

是的,您可以获取网络日志。

AWS 网络防火墙是一项托管服务,您可以使用它为您的 Amazon Virtual Private Cloud 实例部署基本的网络保护。 AWS Network Firewall 与 AWS Firewall Manager 配合使用,因此您可以基于 AWS Network Firewall 规则构建策略,然后在您的 VPC 和账户中集中应用这些策略。 https://docs.aws.amazon.com/athena/latest/ug/querying-network-firewall-logs.html

如何创建亚马逊cloudwatch日志 https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html

AWS 网络防火墙日志记录目标 https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging-destinations.html

0
投票

在您的防火墙中,记录配置。请启用 

Alerts
的日志,然后您可以选择将警报(来自被阻止请求的日志)发送到的位置。您将有 s3 或 cloudwatch 日志组等选项。 祝你好运。

0
投票

您可以启用警报日志或日志记录,通过云观察贡献者洞察规则进行过滤,例如:

TopBlockedTCPFlowsRule-firewall 
Contribution keys

    $.event.src_ip
    $.event.dest_ip
    $.event.dest_port

Filters

    "Match": "$.event.alert.action", "In": [ "blocked" ]
    "Match": "$.event.proto", "In": [ "TCP" ] 

Aggregate on
Count
Log groups

    firewall-alert
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.