云网络安全：AWS防火墙选择

防火墙是网络安全的核心部分且日趋复杂，始终与企业面临的不断变化的威胁抗争。更新的防火墙能够分析网络流量行为、协议以及应用层数据。然而，当将资源转移到亚马逊云上时，企业可能会发现没有相同数量和类型的的防火墙可供选择。在这篇技巧中，我们将会针对云网络安全，调查AWS内置的防火墙、第三方的防火墙以及开源防火墙。

AWS防火墙

内置的AWS防火墙对于信息安全专家来说还有许多待改进之处。为了在EC2内创建防火墙规则，企业可以创建“安全群组。”这些群组描绘了应用于EC2的防火墙规则集，每一个群组仅允许企业配置入站规则。对于使用亚马逊虚拟私有云（VPC）服务的用户来说，可以创建入站和出站规则，但是有云VPC服务高昂的成本，会导致这项实施花费更多。

至于检查能力，AWS防火墙过滤器和IP选项集捆在一起，操纵基本的分组分段（但是允许攻击者通常阻碍入侵检测系统所创建的异常片段），且执行简单的状态过滤器。然而，在AWS防火墙内，对于任何规则允许未登录，这是个非常明显的短处。大多数网络和安全团队都希望对这些登录进行入侵检测和分析，使用单机或者安全事件管理工具。尽管亚马逊防火墙可能在一些场景中足够充分，但是安全专业人士更喜欢选择的AWS网络安全选择。

针对AWS的第三方防火墙

几乎没有第三方的防火墙选项能够和AWS整合。Check Point已经将Check Point Security Gateway R75整合到AWS市场中。这意味着寻求安装VPC环境的企业可以创建新的虚拟Check Point防火墙，并将其整合到企业的私有云中。

Check Point防火墙表现的更像是传统的Check Point设备，提供了状态流量检测和控制功能、应用和协议分析规则以及VPN连接。Check Point的虚拟设备能够同各种亚马逊实例类型整合，也支持Check Point“软件刀锋”功能，这个功能为安全性能集提供了模块化的方法。Check Point是目前唯一在防火墙领域成熟的厂商产品，能够完全整合到亚马逊的市场之中。思科和Juniper在AWS市场上还没有任何产品，尽管他们都提供虚拟防火墙平台（分别为ASA 1000v和vGW产品）。

除了Check Point选项意外，企业在亚马逊EC2中安装防火墙要取决于他们自己所使用的开源软件解决方案。Smoothwall有开源和商业产品，在单一包中提供了包过滤、Web过滤和电子邮件保护。该公司提供的基于软件的商业选项可以直接安装到亚马逊图像中，或者作为VMware图像直接导入到EC2中。其他的开源选项有Openwall，提供了防火墙功能以及其他的安全选项，可以当做虚拟机安装，然后导入到亚马逊中。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]