AWS Network Firewall 如何透過會話狀態複製最大化您的應用程式流量的高可用性

AWS 網路防火牆 (AWS Network Firewall) 是一種受管理的有狀態網路防火牆和入侵保護服務，您可以使用它來實施防火牆規則，以精細控制您的網路流量。使用網路防火牆，您可以在虛擬私有雲 (VPC) 的邊界過濾流量，包括過濾進入和離開網際網路閘道、NAT 閘道、VPN 或 AWS 直接連線的流量。在這篇文章中，我們將向您展示 AWS 網路防火牆如何使用會話狀態複製來幫助維持應用程式流量的高可用性。

網路防火牆會話狀態複製

網路防火牆使用的有狀態引擎根據客戶定義的規則應用網路安全政策。在檢查有狀態流時，網路防火牆會為每個連接維護一個重建的狀態，並將其存儲在流表中。網路防火牆是一種分散式服務，通過閘道負載平衡器端點將流量和連接狀態分佈在多個後端防火牆主機上。

由於多種操作原因，後端主機可能會被帶入或移出服務，例如自動調整事件以適應變化的流量水平或安裝安全性和其他服務更新的軟體。在這些操作期間，如果流量包含長時間存在的流量流，網路防火牆允許這些流量流在更換主機並重新平衡到較新主機之前排出幾分鐘。

當現有流量流被重新平衡到不包含其連接狀態的新主機時，將根據防火牆政策配置的流異常政策處理該連接。網路防火牆將丟棄或拒絕這些連接，或者可以配置網路防火牆在沒有先前連接上下文的情況下繼續應用防火牆政策的規則。這兩種選擇都有影響：使用丟棄或拒絕操作通過強制重新啟動和重新檢查連接來維持安全性，但代價是某些連接中斷，而繼續操作則需要編寫防火牆規則以接受中途中斷的連接。

在 2024 年 12 月，AWS 推出了網路防火牆在後端主機之間複製會話狀態的功能，減少了需要將流異常政策應用於中斷連接的情況數量。現在，大多數這些故障轉移的流量流會轉到已經包含正確流狀態的新主機，允許這些連接不間斷地繼續。此功能在所有防火牆上默認啟用，您無需採取任何操作。在狀態無法自動複製或由於網路中的路由變更等其他原因導致連接中斷的罕見情況下，流異常政策將繼續應用。

圖 1：會話狀態複製流程

圖 1 顯示了在更換後端防火牆主機期間維持持久連接的事件順序：

• 網路流量到達網路防火牆端點，並由閘道負載平衡器轉發到防火牆後端主機（防火牆主機 1）。
• 防火牆主機 1 從閘道負載平衡器目標組中註銷，這使得閘道負載平衡器停止將新流量分配給該主機，但維持現有的流量。
• 服務從後端防火牆主機 1 匯出剩餘的會話狀態表。
• 服務將會話表數據複製到其他健康的後端主機。
• 流量刷新操作使閘道負載平衡器將主機 1 上的剩餘流量重新分配給其他在服務中的主機，這些正在進行的流量將繼續由防火牆上配置的有狀態檢查規則進行檢查。

您自己的工作負載的一些主要考量：

結論

在這篇文章中，我們概述了 AWS 網路防火牆如何利用其在多個後端防火牆主機之間複製連接狀態的能力來維持應用程式流量的高可用性。此功能對於現有和新客戶默認啟用，使用此功能無需額外費用或配置更改。

要了解有關 AWS 網路防火牆的更多信息，請參閱 AWS 網路防火牆產品頁面和服務文檔。要查看 AWS 網路防火牆在哪些 AWS 區域可用，請參閱 AWS 服務按區域分類。

如果您對本文有反饋，請在下面的評論部分提交評論。如果您對本文有疑問，請聯繫 AWS 支援。

Tushar Jagdale
Tushar 是 AWS 的專家解決方案架構師，專注於網路領域，他幫助客戶構建和設計可擴展、高可用、安全、彈性和具成本效益的網路。他在構建和保護數據中心和雲端網路方面擁有超過 15 年的經驗。

Amish Shah
Amish 是一位經驗豐富的產品領導者，擁有超過 15 年的經驗，專注於開發創新且可擴展的網路、安全和雲端解決方案。他目前領導 AWS 網路防火牆服務，幫助開發保護 AWS 工作負載的安全解決方案。工作之餘，Amish 喜歡打板球和足球，熱愛旅行，最近開始收集小眾香水。

Vikram Saurabh
Vikram 是一位經驗豐富的工程領導者，擁有 20 年的軟體工程經驗，主要專注於構建防火牆產品和服務。他目前領導 AWS 網路防火牆工程團隊，之前曾領導 Route53 DNS 防火牆的工程團隊。工作之餘，Vikram 喜歡打板球、健行和解數學謎題。

Jamie Lavigne
Jamie 是一位主要的軟體開發工程師，擁有超過 10 年的經驗，專注於在 AWS 構建和運營高度彈性的網路安全服務。Jamie 自 AWS 網路防火牆服務成立以來一直擔任技術領導，並繼續專注於確保其滿足內部和外部客戶的安全、合規和可用性需求。