本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

适用于 Network Firewall 的 Security Hub 控件

这些 AWS Security Hub 控件可评估 AWS Network Firewall 服务和资源。

这些控件可能并未在所有的 AWS 区域 上提供。有关更多信息，请参阅 按地区划分的控件可用性。

[NetworkFirewall.1] Network Firewall 应跨多个可用区部署。

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::NetworkFirewall::Firewall

AWS Config 规则：netfw-multi-az-enabled

计划类型：已触发变更

参数：无

该控件评估通过 AWS Network Firewall 管理的防火墙是否跨多个可用区（AZ）部署。如果防火墙仅部署在一个可用区中，则控制失败。

AWS 全球基础设施包括多个 AWS 区域。每个区域内的可用区位置在物理上是相互独立、相互隔离的，通过低延迟、高吞吐量且高冗余性的网络连接在一起。通过跨多个可用区部署 Network Firewall 防火墙，您可以在可用区之间平衡和转移流量，这可以帮助您设计高度可用的解决方案。

修复

[NetworkFireWall.2] 应启用 Network Firewall 日志记录

相关要求：NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：中

资源类型：AWS::NetworkFirewall::LoggingConfiguration

AWS Config 规则：netfw-logging-enabled

计划类型：定期

参数：无

此控件检查是否为 AWS Network Firewall 防火墙启用了日志记录。如果没有为至少一种日志类型启用日志记录或者日志记录目标不存在，则控制失败。

日志记录可帮助您保持防火墙的可靠性、可用性和性能。在 Network Firewall 中，日志记录为您提供有关网络流量的详细信息，包括有状态引擎接收数据包流的时间、有关数据包流的详细信息以及针对数据包流采取的任何有状态规则操作。

修复

要启用防火墙日志记录，请参阅《AWS Network Firewall 开发人员指南》中的更新防火墙的日志记录配置。

[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::FirewallPolicy

AWS Config 规则：netfw-policy-rule-group-associated

计划类型：已触发变更

参数：无

此控件检查 Network Firewall 策略是否关联了任何状态或无状态规则组。如果未分配无状态或有状态规则组，则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon Virtual Private Cloud（Amazon VPC）中的流量。配置无状态和有状态规则组有助于筛选数据包和流量，并定义默认流量处理。

修复

要向 Network Firewall 策略添加规则组，请参阅 AWS Network Firewall 开发人员指南中的更新防火墙策略。有关创建和管理规则组的信息，请参阅 AWS Network Firewall 中的规则组。

[NetworkFireWall.4] 网络防火墙策略的默认无状态操作应为丢弃或转发完整数据包

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::FirewallPolicy

AWS Config 规则：netfw-policy-default-action-full-packets

计划类型：已触发变更

参数：

此控件检查 Network Firewall 策略中对完整数据包的默认无状态操作是丢弃还是转发。如果选择了 Drop 或 Forward，则控制通过，如果选择 Pass 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。

修复

要变更您的防火墙策略，请参阅 AWS Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作，请选择编辑。然后，选择丢弃或转发到有状态的规则组作为操作。

[NetworkFirewall.5] Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::FirewallPolicy

AWS Config 规则：netfw-policy-default-action-fragment-packets

计划类型：已触发变更

参数：

此控件检查 Network Firewall 策略中对碎片数据包的默认无状态操作是丢弃还是转发。如果选择了 Drop 或 Forward，则控制通过，如果选择 Pass 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。

修复

要变更您的防火墙策略，请参阅 AWS Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作，请选择编辑。然后，选择丢弃或转发到有状态的规则组作为操作。

[NetworkFireWall.6] 无状态网络防火墙规则组不应为空

相关要求：NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)。

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::NetworkFirewall::RuleGroup

AWS Config 规则：netfw-stateless-rule-group-not-empty

计划类型：已触发变更

参数：无

此控件检查 AWS Network Firewall 中的无状态规则组是否包含规则。如果规则组中没有规则，则控制失败。

规则组包含的规则定义防火墙如何处理您的 VPC 中的流量。当防火墙策略中存在空的无状态规则组时，可能会给人一种规则组将处理流量的印象。但是，当无状态规则组为空时，它不处理流量。

修复

要将规则添加到 Network Firewall 规则组，请参阅 AWS Network Firewall 开发人员指南中的更新有状态规则组。在防火墙详细信息页面上，对于无状态规则组，选择编辑以添加规则。

[NetworkFirewall.7] 应标记 Network Firewall 防火墙

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::NetworkFirewall::Firewall

AWS Config规则：tagged-networkfirewall-firewall（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件可检查 AWS Network Firewall 防火墙是否具有带特定键的标签，这些键在 requiredTagKeys 参数中进行定义。如果防火墙没有任何标签键或未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果防火墙未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标记，由一个键和一个可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 AWS 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 IAM 用户指南中的什么是适用于 AWS 的 ABAC？。

修复

要向 Network Firewall 防火墙添加标签，请参阅《AWS Network Firewall Developer Guide》中的 Tagging AWS Network Firewall resources。

[NetworkFireWall.8] 应标记 Network Firewall 防火墙策略

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::NetworkFirewall::FirewallPolicy

AWS Config规则：tagged-networkfirewall-firewallpolicy（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件可检查 AWS Network Firewall 防火墙策略是否具有带特定键的标签，这些键在 requiredTagKeys 参数中进行定义。如果防火墙策略没有任何标签键或未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果防火墙策略未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标记，由一个键和一个可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 AWS 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 IAM 用户指南中的什么是适用于 AWS 的 ABAC？。

修复

要向 Network Firewall 策略添加标签，请参阅《AWS Network Firewall Developer Guide》中的 Tagging AWS Network Firewall resources。

[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)。

类别：保护 > 网络安全

严重性：中

资源类型：AWS::NetworkFirewall::Firewall

AWS Config 规则：netfw-deletion-protection-enabled

计划类型：已触发变更

参数：无

此控件检查 AWS Network Firewall 防火墙是否已启用删除保护。如果未为防火墙启用删除保护，则控制失败。

AWS Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务，可让您检查和筛选进出虚拟私有云 (VPC) 或虚拟私有云 (VPC) 之间的流量。删除保护设置可防止意外删除防火墙。

修复

要在现有 Network Firewall 防火墙上启用删除保护，请参阅 AWS Network Firewall 开发人员指南中的更新防火墙。对于变更保护，选择启用。您也可以通过调用 UpdateFirewallDeleteProtection API 并将 DeleteProtection 字段设置为 true 来启用删除保护。