Întrebare

Există vreo modalitate de a înregistra conexiunile blocate de AWS Network Firewall sau de a filtra jurnalele de conexiuni blocate?

fundal

În prezent, am configurat regulile și ar dori să știu ce IP sau domenii au fost blocate.

Uitandu-ma la Înregistrarea traficului de rețea din AWS Network Firewall dar nu este clar dacă este posibil.

Puteți înregistra jurnalele de flux și jurnalele de alertă din motorul cu stare de firewall de rețea.
Jurnalele de flux sunt jurnalele standard ale fluxului de trafic de rețea. Fiecare înregistrare de jurnal de flux captează fluxul de rețea pentru un anumit 5-tuplu.

Jurnalele de alerte raportează trafic care se potrivește cu regulile dvs. de stare care au o acțiune care trimite o alertă. O regulă cu stare trimite alerte pentru acțiunile de regulă DROP și ALERT.

Din jurnalele de flux, nu este clar dacă este trecut sau blocat.

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    „eveniment”: {
        „stamp”: „2021-08-06T07:47:26.000068+0000”,
        „flow_id”: 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        „netflow”: {
            „pkts”: 1,
            „octeți”: 40,
            „start”: „2021-08-06T07:46:24.365793+0000”,
            „sfârșit”: „2021-08-06T07:46:24.365793+0000”,
            "varsta": 0,
            "min_ttl": 239,
            „max_ttl”: 239
        },
        „tcp”: {
            "tcp_flags": "02",
            „syn”: adevărat
        }
    }
}

Trebuie să configurați firewall-ul pentru a înregistra tipul de jurnal „Alert”.

Apoi va afișa sursa, destinația și acțiunea (adică DROP sau ALLOW).

Iată câteva documente despre cum să schimbați tipul de jurnal:
https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html