介紹 AWS Network Firewall CloudWatch 儀表板

亞馬遜雲端監控 (Amazon CloudWatch) 儀表板是可以自訂的頁面，您可以在雲端監控主控台中使用這些頁面來在單一視圖中監控您的資源。這篇文章著重於部署一個雲端監控儀表板，您可以使用它來為您的 AWS 網路防火牆 (AWS Network Firewall) 建立一個可自訂的監控解決方案。它旨在提供更深入的防火牆效能和安全事件的見解，簡化安全監控。

網路防火牆是一項託管服務，您可以用來為亞馬遜虛擬私有雲 (Amazon VPC) 部署基本的網路保護。網路防火牆透過雲端監控提供全面的日誌和指標，我們正在透過這個雲端監控儀表板擴展其功能。這項增強功能使您更容易視覺化、分析和採取行動，應對由防火牆產生的大量數據。

這個開源解決方案簡化了網路安全監控，提供一個使用者友好的 AWS CloudFormation 範本，快速部署專用的監控儀表板。這個解決方案將一套雲端監控功能——基本監控指標、日誌、日誌洞察查詢、貢獻者洞察規則和儀表板本身——整合到一個集中視圖中。預配置的小工具提供即時見解，涵蓋關鍵領域如頂級通信者、協議分佈和警報日誌趨勢，此外還有 HTTP 和 TLS 流量分析。關鍵指標和日誌的綜合視圖可更快識別潛在的安全威脅或效能問題。將所有相關的網路防火牆數據集中在一處，您的團隊可以更快地應對新出現的安全事件。

在這篇部落格文章中，我們提供了儀表板的概述以及在您的環境中部署它的逐步指南。

解決方案概述

雲端監控儀表板可以在今天網路防火牆可用的所有 AWS 區域中部署，包括 AWS GovCloud (美國) 區域和中國區域。儘管儀表板已經預先配置，您可以快速調整查詢、時間範圍和刷新間隔，以滿足您的特定需求。預設情況下，儀表板會在 3 小時內查詢防火牆流量和警報日誌事件，這會影響掃描的日誌事件數量。日誌洞察和貢獻者洞察小工具預設顯示前 10 個數據點，但您可以通過修改查詢或調整頂級貢獻者的值來增強結果，儘管這可能會導致成本增加。您可以配置小工具的自動刷新間隔，以獲得實時可見性並優化成本。請參閱亞馬遜雲端監控定價指南以獲取最新的免費和付費層定價考量。

如圖 1 所示的儀表板可以使用 CloudFormation 部署，並包括來自以下來源的數據和分析：

來自 AWS/NetworkFirewall 和 AWS/PrivateLinkEndpoints 命名空間的原生雲端監控指標
分析網路防火牆流量和警報日誌的雲端監控日誌洞察查詢
從網路防火牆流量和警報日誌中彙總數據的雲端監控貢獻者洞察規則。

操作指南

在儀表板中，日誌洞察和貢獻者洞察小工具預設顯示前 10 個數據點。您可以編輯洞察查詢或將頂級貢獻者更改為更大的值以顯示更多結果，如圖 2 所示。

圖 2：頂級通信者儀表板顯示頂級貢獻者值的更改

您還可以手動刷新單個或多個小工具中的數據，或者您可以將整個儀表板配置為在配置的時間間隔自動刷新，如圖 3 所示。預設情況下，儀表板不會自動刷新小工具數據。

圖 3：配置儀表板自動刷新

先決條件

部署網路防火牆雲端監控儀表板很簡單。您將需要以下內容：

您的 VPC 中的網路防火牆。
您的網路防火牆必須配置為將防火牆流量和警報日誌發佈到兩個不同的雲端監控日誌群組。例如，防火牆流量日誌發佈到 /my-firewall-flow-logs，警報日誌發佈到 /my-firewall-alert-logs。

如果您尚未在 VPC 中部署網路防火牆，您可以使用可用的 AWS 網路防火牆部署架構範本之一來創建防火牆。創建防火牆後，為防火牆流量和警報日誌配置雲端監控日誌群組，並如前所述配置有狀態日誌。微調您的防火牆策略和規則配置，確保您正在對稱地通過防火牆路由流量。現在防火牆已在路由路徑中並發佈指標和日誌事件，您可以繼續使用此網路防火牆雲端監控儀表板範本。

部署

網路防火牆儀表板 CloudFormation 範本為單個網路防火牆創建監控儀表板。請確保您在與防火牆相同的 AWS 區域和帳戶中啟動此 CloudFormation 堆疊，無論防火牆是集中設置還是分佈設置。

要部署儀表板：

為相關的 AWS 區域選擇啟動堆疊。確保您已登入到適當的 AWS 帳戶和區域。

區域：中國

區域：Gov Cloud

區域：AWS 網路防火牆支持的所有其他區域

您將被重定向到 AWS 管理控制台中的 CloudFormation 創建堆疊頁面。確保您在正確的區域並使用正確的範本。選擇下一步。以下是區域及其範本名稱：

中國區域：nfw-cloudwatch-dashboard-china.yaml
Gov Cloud 區域：nfw-cloudwatch-dashboard-govcloud.yaml
所有其他區域：nfw-cloudwatch-dashboard.yaml

圖 4：確保您正在使用正確的範本

啟動堆疊時，您需要輸入以下參數：

堆疊名稱：這個 CloudFormation 堆疊的描述性名稱。例如，my-firewall-dashboard。
防火牆名稱：在 Amazon VPC 控制台中看到的防火牆名稱。在 Amazon VPC 控制台中，選擇導航窗格中的網路防火牆，然後選擇防火牆。
防火牆子網：您的防火牆端點所連接的防火牆子網 ID。防火牆子網可以在 Amazon VPC 中的防火牆詳細資訊標籤上找到。
流量日誌群組名稱：存儲您的防火牆流量日誌的雲端監控日誌群組的名稱。
警報日誌群組名稱：存儲您的防火牆警報日誌的雲端監控日誌群組的名稱。
貢獻者洞察規則狀態：啟用或禁用貢獻者洞察規則（範本默認為啟用）。禁用將停止規則掃描日誌數據並在貢獻者洞察小工具中顯示結果。創建規則後，您可以從雲端監控控制台更改一個或多個貢獻者洞察規則的狀態，方法是選擇導航窗格中的洞察，然後選擇貢獻者洞察。

堆疊達到 CREATE_COMPLETE 狀態後，轉到輸出標籤並選擇 FirewallDashboardURI 連結以在雲端監控儀表板控制台中打開新儀表板。日誌洞察和貢獻者洞察小工具開始顯示數據可能需要幾分鐘。關於每個小工具的更多詳細信息，請參閱 README。如果您沒有匹配小工具中查詢參數的日誌事件，某些小工具可能不會顯示數據點。

故障排除

如果您在部署期間或之後遇到問題，請檢查以下內容：

防火牆日誌記錄已啟用並配置為使用雲端監控而不是亞馬遜簡單儲存服務 (Amazon S3) 或亞馬遜 Kinesis。
防火牆流量和警報日誌記錄均已啟用，而不僅僅是一個。
日誌群組名稱輸入正確；不正確的名稱將導致小工具指向無效數據。
選擇了正確的子網。不正確的選擇會影響 PrivateLink 指標小工具。
防火牆名稱輸入正確。不正確的名稱可能會破壞指標小工具、儀表板和貢獻者洞察小工具名稱並中斷防火牆連結。

清理

您可以通過幾次點擊刪除網路防火牆雲端監控儀表板及其所有相關資源。刪除儀表板不會影響防火牆執行的路由和網路流量檢查。

登入到您啟動堆疊的區域的 CloudFormation 控制台，然後從導航窗格中選擇堆疊。
選擇您在啟動堆疊時選擇的堆疊名稱。例如，my-firewall-dashboard。
選擇刪除。

結論

我們鼓勵您親自體驗這個新儀表板如何增強您的網路安全管理。要開始使用 AWS 網路防火牆雲端監控儀表板，請訪問我們的 GitHub 儲存庫以獲取詳細說明和 CloudFormation 範本。要了解儀表板及其功能的視覺概述，請查看我們的 YouTube 視頻。

如果您對這篇文章有反饋，請在下方的評論區提交評論。如果您對這篇文章有疑問，請聯繫 AWS 支援。

Ajinkya Patil
Ajinkya 是亞馬遜專業服務的安全顧問，自 2019 年以來專注於為 AWS 客戶提供汽車行業的安全諮詢。他曾在 AWS re:Inforce 發表演講，並為 AWS 安全部落格和 AWS 規範指導撰寫文章。除了專業承諾外，他還喜歡旅行和攝影。

Todd Pula
Todd 是 AWS 的高級雲端支援工程師，也是 AWS 網路防火牆的服務體驗負責人。他是一位出色的問題解決者，幫助客戶構建和排除複雜的雲端網絡和安全解決方案。他擁有資訊技術碩士學位，是思科認證的互聯網專家 (CCIE)。

Amish Shah
Amish 是一位經驗豐富的產品領導者，擁有超過 15 年的經驗，專注於開發創新和可擴展的網絡、安全和雲端使用案例解決方案。他目前領導 AWS 網路防火牆服務，幫助開發保護 AWS 工作負載的安全解決方案。工作之餘，Amish 喜歡打板球和足球，熱愛旅行，最近還開始收集小眾香水。