目次

20.ファイアウォールポリシー

ファイアウォールポリシーは以下の管理を行います。
・ストリーム例外ポリシー
・ステートレスエンジンと、ステートフルエンジンのデフォルトアクション
・ステートレスルールグループ、ステートフルルールグループの管理
・ステートフルルールのルール順序

ストリーム例外ポリシー

ネットワーク接続が途中で中断した場合に、ネットワークファイアウォールがトラフィックを処理する方法を選択します。
設定値は下記を参考にすると良いかと思います。
https://aws.amazon.com/jp/about-aws/whats-new/2023/05/aws-network-firewall-reject-action-stream-exception-policy/
・ドロップ    :ファイアウォールに向かう後続のすべてのトラフィックをドロップします。
・続行する    :以前のトラフィックのコンテキストなしでルールの処理を続行します。
・拒否      :クローズに失敗し、送信者に TCP リセットパケットを送信し、ファイアウォールに向かう後続のすべてのトラフィックをドロップします。

ステートレスエンジン

デフォルトアクション

ステートレスルールに一致しないパケットに対して実行するアクションを下記から指定します。
実行するアクションは、完全なパケットに対するアクションとフラグマント化されたパケットのアクションで、それぞれ選択可能です。
・パス
・ドロップ
・ステートレスルールグループに転送

ステートフルエンジン

ルールの順序

・デフォルト
・厳格

デフォルトアクション ※厳格の場合のみ選択可能

以下からデフォルトアクションを選択します。※ドロップアクションは片方のみ選択可能
・すべてをドロップ           :すべてのパケットをドロップします。
・確立された接続のパケットをドロップ  :確立された接続にあるパケットのみをドロップします。
・すべてアラート            :すべてのパケットで ALERTALL メッセージをログ記録します。
・確立された接続のパケットをアラート  :確立された接続にあるパケットに ALERT
ESTABLISHED メッセージをログ記録します。