Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Utilisez Network Firewall pour capturer les noms de domaine DNS à partir de l'indication du nom du serveur pour le trafic sortant - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisez Network Firewall pour capturer les noms de domaine DNS à partir de l'indication du nom du serveur pour le trafic sortant

PDF

Créée par Kirankumar Chandrashekar (AWS)

Récapitulatif

Ce modèle vous montre comment utiliser AWS Network Firewall pour collecter les noms de domaine DNS fournis par l'indication du nom du serveur (SNI) dans l'en-tête HTTPS de votre trafic réseau sortant. Network Firewall est un service géré qui facilite le déploiement de protections réseau critiques pour Amazon Virtual Private Cloud (Amazon VPC), notamment la possibilité de sécuriser le trafic sortant à l'aide d'un pare-feu qui bloque les paquets qui ne répondent pas à certaines exigences de sécurité. La sécurisation du trafic sortant vers des noms de domaine DNS spécifiques est appelée filtrage de sortie, qui consiste à surveiller et éventuellement à restreindre le flux d'informations sortantes d'un réseau à un autre.

Après avoir capturé les données SNI qui passent par Network Firewall, vous pouvez utiliser Amazon CloudWatch Logs et AWS Lambda pour publier les données sur une rubrique Amazon Simple Notification Service (Amazon SNS) qui génère des notifications par e-mail. Les notifications par e-mail incluent le nom du serveur et d'autres informations SNI pertinentes. En outre, vous pouvez utiliser le résultat de ce modèle pour autoriser ou restreindre le trafic sortant par nom de domaine dans le SNI en utilisant des règles de pare-feu. Pour plus d'informations, consultez la section Utilisation de groupes de règles dynamiques dans AWS Network Firewall dans la documentation Network Firewall.

Conditions préalables et limitations

Prérequis

Architecture

Le schéma suivant montre comment utiliser Network Firewall pour collecter des données SNI à partir du trafic réseau sortant, puis publier ces données sur une rubrique SNS à l'aide de Logs CloudWatch et Lambda.

Flux de travail entre Network Firewall, CloudWatch Logs, Lambda et Amazon SNS.

Le schéma suivant illustre le flux de travail suivant :

  1. Network Firewall collecte les noms de domaine à partir des données SNI contenues dans l'en-tête HTTPS de votre trafic réseau sortant.

  2. CloudWatch Logs surveille les données SNI et invoque une fonction Lambda chaque fois que le trafic réseau sortant passe par Network Firewall.

  3. La fonction Lambda lit les données SNI capturées par CloudWatch Logs, puis les publie dans une rubrique SNS.

  4. La rubrique SNS vous envoie une notification par e-mail qui inclut les données SNI.

Automatisation et mise à l'échelle

Pile technologique

  • Amazon CloudWatch Logs

  • Amazon SNS

  • Amazon VPC

  • AWS Lambda 

  • AWS Network Firewall

Outils

Services AWS

  • Amazon CloudWatch Logs : vous pouvez utiliser Amazon CloudWatch Logs pour surveiller, stocker et accéder à vos fichiers journaux à partir d'instances Amazon Elastic Compute Cloud (Amazon EC2), d'AWS CloudTrail, d'Amazon Route 53 et d'autres sources.

  • Amazon SNS — Amazon Simple Notification Service (Amazon SNS) est un service géré qui permet aux éditeurs de transmettre des messages aux abonnés (également appelés producteurs et consommateurs).

  • Amazon VPC — Amazon Virtual Private Cloud (Amazon VPC) fournit une section logiquement isolée du cloud AWS dans laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d'AWS.

  • AWS Lambda — AWS Lambda est un service de calcul qui vous permet d'exécuter du code sans provisionner ni gérer de serveurs.

  • AWS Network Firewall — AWS Network Firewall est un service géré qui facilite le déploiement de protections réseau essentielles pour l'ensemble de votre Amazon VPCs.

Épopées

TâcheDescriptionCompétences requises

Créez un groupe de CloudWatch journaux.

  1. Connectez-vous à AWS Management Console et ouvrez la console CloudWatch .

  2. Dans le panneau de navigation, choisissez Groupes de journaux.

  3. Choisissez Actions, puis Create Bucket (Créer un compartiment).

  4. Tapez un nom pour le groupe de journaux, puis choisissez Créer un groupe de journaux.

Pour plus d'informations, consultez la section Utilisation des groupes de journaux et des flux de journaux dans la CloudWatch documentation.

Administrateur du cloud

Création d'un groupe de CloudWatch journaux pour Network Firewall

TâcheDescriptionCompétences requises

Créez un groupe de CloudWatch journaux.

  1. Connectez-vous à AWS Management Console et ouvrez la console CloudWatch .

  2. Dans le panneau de navigation, choisissez Groupes de journaux.

  3. Choisissez Actions, puis Create Bucket (Créer un compartiment).

  4. Tapez un nom pour le groupe de journaux, puis choisissez Créer un groupe de journaux.

Pour plus d'informations, consultez la section Utilisation des groupes de journaux et des flux de journaux dans la CloudWatch documentation.

Administrateur du cloud
TâcheDescriptionCompétences requises

Créez une rubrique SNS.

Pour créer une rubrique SNS, suivez les instructions de la documentation Amazon SNS.

Administrateur du cloud

Abonnez un point de terminaison à la rubrique SNS.

Pour abonner une adresse e-mail en tant que point de terminaison à la rubrique SNS que vous avez créée, suivez les instructions de la documentation Amazon SNS. Pour Protocole, choisissez Email/Email-JSON.

Note

Vous pouvez également choisir un point de terminaison différent en fonction de vos besoins.

Administrateur du cloud

Création d'un sujet et d'un abonnement SNS

TâcheDescriptionCompétences requises

Créez une rubrique SNS.

Pour créer une rubrique SNS, suivez les instructions de la documentation Amazon SNS.

Administrateur du cloud

Abonnez un point de terminaison à la rubrique SNS.

Pour abonner une adresse e-mail en tant que point de terminaison à la rubrique SNS que vous avez créée, suivez les instructions de la documentation Amazon SNS. Pour Protocole, choisissez Email/Email-JSON.

Note

Vous pouvez également choisir un point de terminaison différent en fonction de vos besoins.

Administrateur du cloud
TâcheDescriptionCompétences requises

Activez la journalisation du pare-feu.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, sous NETWORK FIREWALL, sélectionnez Firewalls.

  3. Dans la section Firewalls, choisissez le pare-feu sur lequel vous souhaitez capturer le nom du serveur à partir du SNI pour le trafic sortant.

  4. Choisissez l'onglet Détails du pare-feu, puis sélectionnez Modifier dans la section Journalisation

  5. Pour Type de journal, sélectionnez Alerte. Pour Destination du journal pour les alertes, sélectionnez le groupe de CloudWatch journaux

  6. Pour le groupe de CloudWatch journaux, recherchez et choisissez le groupe de journaux que vous avez créé précédemment, puis choisissez Enregistrer.

Pour plus d'informations sur l'utilisation CloudWatch des journaux comme destination des journaux pour Network Firewall, consultez Amazon CloudWatch Logs dans la documentation de Network Firewall. 

Administrateur du cloud

Configurer la connexion dans Network Firewall

TâcheDescriptionCompétences requises

Activez la journalisation du pare-feu.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, sous NETWORK FIREWALL, sélectionnez Firewalls.

  3. Dans la section Firewalls, choisissez le pare-feu sur lequel vous souhaitez capturer le nom du serveur à partir du SNI pour le trafic sortant.

  4. Choisissez l'onglet Détails du pare-feu, puis sélectionnez Modifier dans la section Journalisation

  5. Pour Type de journal, sélectionnez Alerte. Pour Destination du journal pour les alertes, sélectionnez le groupe de CloudWatch journaux

  6. Pour le groupe de CloudWatch journaux, recherchez et choisissez le groupe de journaux que vous avez créé précédemment, puis choisissez Enregistrer.

Pour plus d'informations sur l'utilisation CloudWatch des journaux comme destination des journaux pour Network Firewall, consultez Amazon CloudWatch Logs dans la documentation de Network Firewall. 

Administrateur du cloud
TâcheDescriptionCompétences requises

Créez une règle dynamique.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, sous NETWORK FIREWALL, sélectionnez Network Firewall Rule Groups.

  3. Choisissez le groupe de règles Create Network Firewall.

  4. Sur la page du groupe de règles Create Network Firewall, pour le type de groupe de règles, choisissez Stateful rule group. Remarque : pour plus d'informations, consultez Utilisation de groupes de règles dynamiques dans AWS Network Firewall.

  5. Dans la section Groupe de règles dynamique, entrez le nom et la description du groupe de règles.

  6. Pour Capacité, définissez la capacité maximale que vous souhaitez autoriser pour le groupe de règles dynamiques (jusqu'à un maximum de 30 000). Remarque : vous ne pouvez pas modifier ce paramètre après avoir créé le groupe de règles. Pour plus d'informations sur le calcul de la capacité, consultez la section Configuration de la capacité des groupes de règles dans AWS Network Firewall. Pour plus d'informations sur le paramètre maximal, consultez la section Quotas d'AWS Network Firewall.

  7. Pour les options de groupe de règles Stateful, sélectionnez 5 tuples.

  8. Dans la section Stateful rule order, sélectionnez Default.

  9. Dans la section Variables de règles, conservez les valeurs par défaut.

  10. Dans la section Ajouter une règle, choisissez TLS pour le protocole. Pour Source, sélectionnez N'importe lequel. Pour Port source, choisissez N'importe quel port. Pour Destination, choisissez N'importe laquelle. Pour Port de destination, choisissez N'importe quel port. Pour Direction du trafic, choisissez Forward. Pour Action, choisissez Alerte. Choisissez Ajouter une règle.

  11. Choisissez Créer un groupe de règles dynamiques.

Administrateur du cloud

Associez la règle dynamique à Network Firewall.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, sous NETWORK FIREWALL, sélectionnez Firewalls.

  3. Choisissez le pare-feu dans lequel vous souhaitez capturer le nom du serveur à partir du SNI pour le trafic sortant.

  4. Dans la section Groupes de règles dynamiques, choisissez Actions, puis choisissez Ajouter des groupes de règles dynamiques non gérés. 

  5. Sur la page Ajouter des groupes de règles dynamiques non gérés, sélectionnez le groupe de règles dynamiques que vous avez créé précédemment, puis choisissez Ajouter un groupe de règles dynamiques.

Administrateur du cloud

Configurer une règle dynamique dans Network Firewall

TâcheDescriptionCompétences requises

Créez une règle dynamique.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, sous NETWORK FIREWALL, sélectionnez Network Firewall Rule Groups.

  3. Choisissez le groupe de règles Create Network Firewall.

  4. Sur la page du groupe de règles Create Network Firewall, pour le type de groupe de règles, choisissez Stateful rule group. Remarque : pour plus d'informations, consultez Utilisation de groupes de règles dynamiques dans AWS Network Firewall.

  5. Dans la section Groupe de règles dynamique, entrez le nom et la description du groupe de règles.

  6. Pour Capacité, définissez la capacité maximale que vous souhaitez autoriser pour le groupe de règles dynamiques (jusqu'à un maximum de 30 000). Remarque : vous ne pouvez pas modifier ce paramètre après avoir créé le groupe de règles. Pour plus d'informations sur le calcul de la capacité, consultez la section Configuration de la capacité des groupes de règles dans AWS Network Firewall. Pour plus d'informations sur le paramètre maximal, consultez la section Quotas d'AWS Network Firewall.

  7. Pour les options de groupe de règles Stateful, sélectionnez 5 tuples.

  8. Dans la section Stateful rule order, sélectionnez Default.

  9. Dans la section Variables de règles, conservez les valeurs par défaut.

  10. Dans la section Ajouter une règle, choisissez TLS pour le protocole. Pour Source, sélectionnez N'importe lequel. Pour Port source, choisissez N'importe quel port. Pour Destination, choisissez N'importe laquelle. Pour Port de destination, choisissez N'importe quel port. Pour Direction du trafic, choisissez Forward. Pour Action, choisissez Alerte. Choisissez Ajouter une règle.

  11. Choisissez Créer un groupe de règles dynamiques.

Administrateur du cloud

Associez la règle dynamique à Network Firewall.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, sous NETWORK FIREWALL, sélectionnez Firewalls.

  3. Choisissez le pare-feu dans lequel vous souhaitez capturer le nom du serveur à partir du SNI pour le trafic sortant.

  4. Dans la section Groupes de règles dynamiques, choisissez Actions, puis choisissez Ajouter des groupes de règles dynamiques non gérés. 

  5. Sur la page Ajouter des groupes de règles dynamiques non gérés, sélectionnez le groupe de règles dynamiques que vous avez créé précédemment, puis choisissez Ajouter un groupe de règles dynamiques.

Administrateur du cloud
TâcheDescriptionCompétences requises

Créez le code de la fonction Lambda.

Dans un environnement de développement intégré (IDE) capable de lire l'événement CloudWatch Logs de Network Firewall pour le trafic sortant, collez le code Python 3 suivant et remplacez-le <SNS-topic-ARN> par votre valeur :

import json
import gzip
import base64
import boto3
sns_client = boto3.client('sns')
def lambda_handler(event, context):
    decoded_event = json.loads(gzip.decompress(base64.b64decode(event['awslogs']['data'])))
    body = '''
    {filtermatch}
    '''.format(
        loggroup=decoded_event['logGroup'],
        logstream=decoded_event['logStream'],
        filtermatch=decoded_event['logEvents'][0]['message'],
    )
    print(body)
    filterMatch = json.loads(body)
    data = []
    if 'http' in filterMatch['event']:
        data.append(filterMatch['event']['http']['hostname'])
    elif 'tls' in filterMatch['event']:
        data.append(filterMatch['event']['tls']['sni'])
    result = 'Domain accessed ' + 1*' ' + (data[0]) + 1*' ' 'via AWS Network Firewall ' + 1*' '  + (filterMatch['firewall_name'])
    print(result)
    message = {'ServerName': result}
    send_to_sns = sns_client.publish(
        TargetArn=<SNS-topic-ARN>,          #Replace with the SNS topic ARN
        Message=json.dumps({'default': json.dumps(message),
                        'sms': json.dumps(message),
                        'email': json.dumps(message)}),
        Subject='Server Name passed through the Network Firewall',
        MessageStructure='json'
    )

Cet exemple de code analyse le contenu CloudWatch des journaux et capture le nom du serveur fourni par le SNI dans l'en-tête HTTPS.

Développeur d’applications

Créez la fonction Lambda.

Pour créer la fonction Lambda, suivez les instructions de la documentation Lambda et choisissez Python 3.9 for Runtime.

Administrateur du cloud

Ajoutez le code à la fonction Lambda.

Pour ajouter votre code Python à la fonction Lambda que vous avez créée précédemment, suivez les instructions de la documentation Lambda.

Administrateur du cloud

Ajoutez CloudWatch des journaux comme déclencheur à la fonction Lambda.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Lambda.

  2. Dans le volet de navigation, choisissez Functions, puis choisissez la fonction que vous avez créée précédemment.

  3. Dans la section Présentation de la fonction, choisissez Ajouter un déclencheur.

  4. Sur la page Ajouter un déclencheur, dans la section Configuration du déclencheur, choisissez CloudWatch Logs, puis Ajouter.

  5. Pour Groupe de journaux, choisissez le groupe de CloudWatch journaux que vous avez créé précédemment.

  6. Dans Nom du filtre, entrez le nom de votre filtre.

  7. Choisissez Ajouter.

  8. Dans l'onglet Configuration de la page de votre fonction, dans la section Déclencheurs, sélectionnez le déclencheur que vous venez d'ajouter, puis sélectionnez Activer.

Pour plus d'informations, consultez la section Utilisation de Lambda avec des CloudWatch journaux dans la documentation Lambda.

Administrateur du cloud

Ajoutez des autorisations de publication sur SNS.

Ajoutez l'autorisation SNS:Publish au rôle d'exécution Lambda, afin que Lambda puisse effectuer des appels d'API pour publier des messages sur SNS.  

  1. Trouvez le rôle d'exécution de la fonction Lambda que vous avez créée précédemment.

  2. Ajoutez la politique suivante à votre rôle AWS Identity and Access Management (IAM) :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSNSPublish",
            "Effect": "Allow",
            "Action": [
                "sns:GetTopicAttributes",
                "sns:Subscribe",
                "sns:Unsubscribe",
                "sns:Publish"
            ],
            "Resource": "*"
        }
    ]
}
Administrateur du cloud

Créez une fonction Lambda pour lire les journaux

TâcheDescriptionCompétences requises

Créez le code de la fonction Lambda.

Dans un environnement de développement intégré (IDE) capable de lire l'événement CloudWatch Logs de Network Firewall pour le trafic sortant, collez le code Python 3 suivant et remplacez-le <SNS-topic-ARN> par votre valeur :

import json
import gzip
import base64
import boto3
sns_client = boto3.client('sns')
def lambda_handler(event, context):
    decoded_event = json.loads(gzip.decompress(base64.b64decode(event['awslogs']['data'])))
    body = '''
    {filtermatch}
    '''.format(
        loggroup=decoded_event['logGroup'],
        logstream=decoded_event['logStream'],
        filtermatch=decoded_event['logEvents'][0]['message'],
    )
    print(body)
    filterMatch = json.loads(body)
    data = []
    if 'http' in filterMatch['event']:
        data.append(filterMatch['event']['http']['hostname'])
    elif 'tls' in filterMatch['event']:
        data.append(filterMatch['event']['tls']['sni'])
    result = 'Domain accessed ' + 1*' ' + (data[0]) + 1*' ' 'via AWS Network Firewall ' + 1*' '  + (filterMatch['firewall_name'])
    print(result)
    message = {'ServerName': result}
    send_to_sns = sns_client.publish(
        TargetArn=<SNS-topic-ARN>,          #Replace with the SNS topic ARN
        Message=json.dumps({'default': json.dumps(message),
                        'sms': json.dumps(message),
                        'email': json.dumps(message)}),
        Subject='Server Name passed through the Network Firewall',
        MessageStructure='json'
    )

Cet exemple de code analyse le contenu CloudWatch des journaux et capture le nom du serveur fourni par le SNI dans l'en-tête HTTPS.

Développeur d’applications

Créez la fonction Lambda.

Pour créer la fonction Lambda, suivez les instructions de la documentation Lambda et choisissez Python 3.9 for Runtime.

Administrateur du cloud

Ajoutez le code à la fonction Lambda.

Pour ajouter votre code Python à la fonction Lambda que vous avez créée précédemment, suivez les instructions de la documentation Lambda.

Administrateur du cloud

Ajoutez CloudWatch des journaux comme déclencheur à la fonction Lambda.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Lambda.

  2. Dans le volet de navigation, choisissez Functions, puis choisissez la fonction que vous avez créée précédemment.

  3. Dans la section Présentation de la fonction, choisissez Ajouter un déclencheur.

  4. Sur la page Ajouter un déclencheur, dans la section Configuration du déclencheur, choisissez CloudWatch Logs, puis Ajouter.

  5. Pour Groupe de journaux, choisissez le groupe de CloudWatch journaux que vous avez créé précédemment.

  6. Dans Nom du filtre, entrez le nom de votre filtre.

  7. Choisissez Ajouter.

  8. Dans l'onglet Configuration de la page de votre fonction, dans la section Déclencheurs, sélectionnez le déclencheur que vous venez d'ajouter, puis sélectionnez Activer.

Pour plus d'informations, consultez la section Utilisation de Lambda avec des CloudWatch journaux dans la documentation Lambda.

Administrateur du cloud

Ajoutez des autorisations de publication sur SNS.

Ajoutez l'autorisation SNS:Publish au rôle d'exécution Lambda, afin que Lambda puisse effectuer des appels d'API pour publier des messages sur SNS.  

  1. Trouvez le rôle d'exécution de la fonction Lambda que vous avez créée précédemment.

  2. Ajoutez la politique suivante à votre rôle AWS Identity and Access Management (IAM) :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSNSPublish",
            "Effect": "Allow",
            "Action": [
                "sns:GetTopicAttributes",
                "sns:Subscribe",
                "sns:Unsubscribe",
                "sns:Publish"
            ],
            "Resource": "*"
        }
    ]
}
Administrateur du cloud
TâcheDescriptionCompétences requises

Envoyez du trafic via Network Firewall.

  1. Envoyez ou attendez que le trafic HTTPS passe par Network Firewall.

  2. Consultez l'e-mail de notification SNS que vous recevez d'AWS lorsque le trafic passe par Network Firewall. L'e-mail inclut les détails du SNI pour le trafic sortant. Par exemple, l'e-mail généré à partir du code Lambda ci-dessus aura le contenu suivant si le nom de domaine consulté est EMAIL-JSON https://aws.amazon.com.rproxy.goskope.comet si le protocole d'abonnement est EMAIL-JSON :

{
    "Type": "Notification",
    "MessageId": "<messageID>",
    "TopicArn": "arn:aws:sns:us-west-2:123456789:testSNSTopic",
    "Subject": "Server Name passed through the Network Firewall",
    "Message": "{\"ServerName\": \"Domain 'aws.amazon.com' accessed via AWS Network Firewall 'AWS-Network-Firewall-Multi-AZ-firewall\"}",
    "Timestamp": "2022-03-22T04:10:04.217Z",
    "SignatureVersion": "1",
    "Signature": "<Signature>",
    "SigningCertURL": "<SigningCertUrl>",
    "UnsubscribeURL": "<UnsubscribeURL>"
}

Consultez ensuite le journal des alertes Network Firewall sur Amazon CloudWatch en suivant les instructions de la CloudWatch documentation Amazon. Le journal des alertes affiche le résultat suivant :

{
    "firewall_name": "AWS-Network-Firewall-Multi-AZ-firewall",
    "availability_zone": "us-east-2b",
    "event_timestamp": "<event timestamp>",
    "event": {
        "timestamp": "2021-03-22T04:10:04.214222+0000",
        "flow_id": <flow ID>,
        "event_type": "alert",
        "src_ip": "10.1.3.76",
        "src_port": 22761,
        "dest_ip": "99.86.59.73",
        "dest_port": 443,
        "proto": "TCP",
        "alert": {
            "action": "allowed",
            "signature_id": 2,
            "rev": 0,
            "signature": "",
            "category": "",
            "severity": 3
        },
        "tls": {
            "subject": "CN=aws.amazon.com",
            "issuerdn": "C=US, O=Amazon, OU=Server CA 1B, CN=Amazon",
            "serial": "<serial number>",
            "fingerprint": "<fingerprint ID>",
            "sni": "aws.amazon.com",
            "version": "TLS 1.2",
            "notbefore": "2020-09-30T00:00:00",
            "notafter": "2021-09-23T12:00:00",
            "ja3": {},
            "ja3s": {}
        },
        "app_proto": "tls"
    }
}
Ingénieur de test

Testez la fonctionnalité de votre notification SNS

TâcheDescriptionCompétences requises

Envoyez du trafic via Network Firewall.

  1. Envoyez ou attendez que le trafic HTTPS passe par Network Firewall.

  2. Consultez l'e-mail de notification SNS que vous recevez d'AWS lorsque le trafic passe par Network Firewall. L'e-mail inclut les détails du SNI pour le trafic sortant. Par exemple, l'e-mail généré à partir du code Lambda ci-dessus aura le contenu suivant si le nom de domaine consulté est EMAIL-JSON https://aws.amazon.com.rproxy.goskope.comet si le protocole d'abonnement est EMAIL-JSON :

{
    "Type": "Notification",
    "MessageId": "<messageID>",
    "TopicArn": "arn:aws:sns:us-west-2:123456789:testSNSTopic",
    "Subject": "Server Name passed through the Network Firewall",
    "Message": "{\"ServerName\": \"Domain 'aws.amazon.com' accessed via AWS Network Firewall 'AWS-Network-Firewall-Multi-AZ-firewall\"}",
    "Timestamp": "2022-03-22T04:10:04.217Z",
    "SignatureVersion": "1",
    "Signature": "<Signature>",
    "SigningCertURL": "<SigningCertUrl>",
    "UnsubscribeURL": "<UnsubscribeURL>"
}

Consultez ensuite le journal des alertes Network Firewall sur Amazon CloudWatch en suivant les instructions de la CloudWatch documentation Amazon. Le journal des alertes affiche le résultat suivant :

{
    "firewall_name": "AWS-Network-Firewall-Multi-AZ-firewall",
    "availability_zone": "us-east-2b",
    "event_timestamp": "<event timestamp>",
    "event": {
        "timestamp": "2021-03-22T04:10:04.214222+0000",
        "flow_id": <flow ID>,
        "event_type": "alert",
        "src_ip": "10.1.3.76",
        "src_port": 22761,
        "dest_ip": "99.86.59.73",
        "dest_port": 443,
        "proto": "TCP",
        "alert": {
            "action": "allowed",
            "signature_id": 2,
            "rev": 0,
            "signature": "",
            "category": "",
            "severity": 3
        },
        "tls": {
            "subject": "CN=aws.amazon.com",
            "issuerdn": "C=US, O=Amazon, OU=Server CA 1B, CN=Amazon",
            "serial": "<serial number>",
            "fingerprint": "<fingerprint ID>",
            "sni": "aws.amazon.com",
            "version": "TLS 1.2",
            "notbefore": "2020-09-30T00:00:00",
            "notafter": "2021-09-23T12:00:00",
            "ja3": {},
            "ja3s": {}
        },
        "app_proto": "tls"
    }
}
Ingénieur de test

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.