自动化创建域名安全策略：AWS 网络防火墙如何提高出站流量的安全性

作者：Mary Kay Sondecker Jason Goode Jesse Lepich 和 Michael Leighty 发布日期：2025年2月21日分类： 公告 AWS 网络防火墙 特色 中级知识 安全、身份与合规 技术如何做

关键要点

许多组织在控制出站流量方面面临挑战，但 AWS 网络防火墙的自动化域名列表功能能够简化此过程。该功能自动分析流量日志，提供更好的可见性，并帮助创建基于流量模式的安全规则。实施域名白名单策略可以有效减少潜在的安全风险，保护敏感数据免受未授权访问。

在控制网络流量时，组织往往更注重入口流量的管理，即仔细限制哪些流量可以进入网络。然而，这种方式只解决了入站安全问题，而现代应用依赖于很多第三方代码，这其中可能存在安全漏洞。一旦这些组件被攻破，受影响的工作负载可能试图连接未经授权的命令与控制服务器，或者向未授权的互联网目的地发送敏感数据。

因此，实施强有力的出站流量控制，尤其是基于域名的白名单，已成为一种重要的安全最佳实践。许多组织正从不受限制的出站访问转向基于域名的白名单，从而限制仅向明确信任的域发送出站通讯，降低潜在风险，并帮助防范已知及未知的威胁。然而，手动识别和维护这些白名单传统上是一个复杂且耗时的过程。

AWS 网络防火墙的自动域名列表功能 提高了网络流量模式的可见性，并简化了出站流量控制管理。该功能为 HTTP 和 HTTPS 网络流量提供分析，帮助组织理解域名使用模式。同时，自动化防火墙日志分析能够根据网络流量生成规则。通过增强的可见性与自动化，该功能提升了安全意识，并有助于提高防火墙规则的有效性。

在这篇博文中，我们将指导你如何实施 AWS 网络防火墙的自动化域名列表功能，提供详细概述、逐步说明，以及优化网络安全的最佳实践。

自动化域名列表及流量洞察概述

基于域名的安全性允许控制网络流量，依据应用程序和用户企图访问的域名。这种方法提供了更直观、更灵活的方式来创建防火墙规则，专注于网络尝试访问的目标，而不仅仅是 IP 地址。然而，有效配置和管理防火墙规则仍然对一些客户构成挑战，尤其是在与持续增长和变化的连接设备、应用程序和流量模式一起运作的大型环境中。组织可能难以跟上这些变化，导致过时或无效的防火墙规则和政策，过于宽松的规则会让网络面临风险，而过于严格的规则则会阻止合法流量。

让我们探讨自动化域名列表如何通过不同的用例和好处来解决这些挑战：

预防与检测安全控制

通过白名单控制域名 建立域名白名单与网络流量的最低特权安全原则相一致。在这种模型中，工作负载在网络中的操作范围被调整，从无限制到严格定义，能够更好地洞察潜在的风险行为。通过限制出站连接仅向经过批准的域，组织能够更有效地控制和监控工作负载通讯。

规则审计与合规性 域名白名单明确哪些域是被允许的，支持与如支付卡行业数据安全标准PCI DSS、健康保险可携带性与责任法案HIPAA、网络安全成熟度模型认证CMMC和一般数据保护条例GDPR等标准的合规性。

预防控制促进检测 预防控制也可以作为检测控制，建立正常域名访问模式的基线。实施域名白名单后，安全团队能够更好地检测到工作负载出现未授权活动的迹象。

事件响应支持 域名报告提供了被访问工作负载域名的最新列表，能够在安全事件发生时快速识别潜在恶意域名，帮助团队优先处理需要即时关注的工作负载。

运营价值

初始防火墙设置和管理 自动化白名单涉及分析现有的流量模式并推荐基于域名的规则，这简化了建立基线防火墙规则的过程。这帮助组织快速部署有效的安全政策，可能减少初始防火墙配置和持续管理所需的时间和专业知识。

应用现代化 白名单支持调整防火墙规则，以适应微服务和容器化环境中快速变化的流量模式，帮助安全团队跟上不断发展的架构。

跨环境一致性 白名单实现了跨多云和混合环境的一致防火墙规则创建和管理，无论应用程序或数据位于何处。

自动化域名列表功能的工作原理

自动化域名列表通过分析你的 HTTP 和 HTTPS 流量、生成被频繁访问的域名报告，并提供基于实际网络流量模式的规则创建方式，以开始使用。在 AWS 网络防火墙中使用自动化域名列表，首先登录到 AWS 管理控制台，访问网络防火墙服务，无论是使用现有的防火墙还是 创建一个新的防火墙。然后请按照本文的其余步骤进行操作。

第一步：启用流量分析模式以捕获 HTTP 和 HTTPS 流量的域日志

在选择防火墙后，左侧导航窗格中选择 配置高级设置。勾选 启用流量分析模式 复选框以启用它，如图 1 所示。网络防火墙使用这种日志记录模式收集关于 HTTP 和 HTTPS 流量的观察到的域的数据，以生成最多 30 天的域报告。这意味着域报告仅包含从启用流量分析模式时开始收集的数据。

图 1：为防火墙启用流量分析模式

要停止收集网络流量中频繁访问的域数据，请取消勾选以禁用流量分析模式，如图 2 所示。请注意，如果禁用流量分析模式，将无法生成域报告。

快橙加速器免费破解版下载

图 2：禁用流量分析模式

启用流量分析模式后，你准备好根据观察到的网络流量生成域报告。这些报告包括从激活该设置的时刻起收集的指标，数据可供使用长达 30 天。接下来，可以转到 监控和可观察性 标签，选择 创建报告。

图 3：流量分析模式启用：现已准备好生成基于域的报告

第二步：创建域报告

域报告总结了你的防火墙在最多 30 天内观察到的 HTTP 和 HTTPS 流量或自防火墙激活以来的整个持续时间，如果小于 30 天。选择你要在报告中包含的每种流量分析类型的复选框HTTP、HTTPS 或两者。

重要提示： 使用每月域报告检查 30 天的流量行为。每种报告类型HTTP、HTTPS每 30 天可用一次，无需额外费用。

图 4：创建包括 HTTP、HTTPS 或两者的流量分析类型的域报告

要查看域报告的状态，请转到控制台中特定防火墙的 报告 部分。当报告准备好时，你可以直接在控制台中查看报告或下载它，如图 5 所示。

图 5：特定防火墙控制台中的报告部分列出了域报告

第三步：查看报告详情

报告详情包括流量类型HTTP 或 HTTPS和观察期开始和结束日期。默认情况下，报告覆盖过去 30 天，或者如果启用了流量分析时该日期不足 30 天，则涵盖整个期间。报告还显示以下详细信息：

域 列表显示在网络流量中观察到的完全合格域名FQDN，如 awscom 或 subdomainawscom。访问尝试 计数指连接请求连接域的总体计数，包括成功和失败的尝试。唯一来源 字段显示连接到该域的不同源 IP 地址数量，表明其受欢迎程度。例如，如果一个工作负载连接到 awscom，那么计数 = 1；如果 1000 个工作负载连接到 awscom，那么计数 = 1000。首次访问 字段显示该域在你的流量中首次出现的时间，而 最后访问 显示该域最近一次被观察的时间。这包含了成功和失败的访问尝试。协议 字段指示观察到域的流量类型；是通过 HTTP 还是 HTTPS 流量即 HTTP 头或 TLS 握手。

图 6 显示了一个示例报告。

图 6：示例域报告详情：30 天分析

第四步：可选创建域列表规则组

你可以将报告中观察到的域名列表复制到一个有状态的域名列表规则组，并更新你的防火墙策略。为此，在 报告详情 部分，选择 创建域列表组，以使用防火墙策略向导创建或更新你的防火墙规则。所选域会自动复制到域列表规则组中，如图 7 所示。有关详细说明，请参阅 AWS 网络防火墙的 文档。

图 7：选项将观察到的域列表复制并使用防火墙策略向导创建域列表规则组

实施域名白名单的最佳实践

在实施域名白名单时，请考虑以下操作成功的指导方针。我们建议你还咨询自己内部的合规和安全政策。

从宽松白名单策略开始：开始时以较宽泛和慷慨的白名单规则为主，避免意外阻止合法域名。专注于建立一个默认拒绝策略，以充分受益于降低风险表面。创建灵活的信任域规则，包括二级域名和顶级域名，例如允许访问注册的二级域名下的子域，或允许访问在组织信任的顶级域下的二级域。使用具有正则表达式能力的自定义 Suricata 规则高效处理复杂流量。查看 网络防火墙的状态规则示例。

请记住，即使是宽泛的白名单也比没有白名单提供更好的安全性。

进行迭代改进：

在建立初步宽松白名单和默认拒绝规则后，评估规则，以确定可能需进一步收紧的领域。通过警报规则而不是通行规则记录特定域名。根据域名信任级别和监测需求调整日志级别。根据操作洞察和变化的需求审查和更新规则。

采用务实和迭代的方式完善规则，而不是试图使规则集过于严格。

配置强大的日志记录：

启用 网络防火墙警报日志 以保持对流量模式的可见性。使用 Amazon CloudWatch Logs 和 Contributor Insights 进行日志分析。考虑为关键工作负载访问的拒绝域设置主动警报。

监控日志以识别潜在的白名单添加或更改。

其他考虑事项：

启用流量分析模式后，自动域名列表功能提供对网络流量的可见性，报告观察到的连接。尽管它不区分允许和被阻止的流量，但域名列表报告可以帮助你确定需要包含在防火墙规则中的关键域名。用于生成域名推荐列表的流量数据在启用流量分析后可用长达 30 天。这使你能够专注于最新的网络活动，以优化防火墙政策。自动域名列表的数据收集是自选的，并独立于防火墙政策和日志记录配置进行。启用该功能不会影响防火墙本身的性能。

结论

借助 AWS 网络防火墙的自动域名列表功能，你可以简化防火墙管理过程，基于实际流量模式创建更有效的规则，并以较少的人工努力维护强大的安全态势。该功能帮助你应对常见挑战，如跟上快速变化的应用程序环境、管理复杂环境中的安全性以及遵循合规要求。要了解有关网络防火墙及其功能的更多信息，请访问 产品页面 和 服务文档。

如果你对本文有反馈，请在下方的评论区提交。如果你有任何问题，可以在 AWS 网络防火墙 rePost 论坛 启动新线程或 联系 AWS 支持。

Mary Kay SondeckerMary Kay 是 AWS 的高级产品经理，专注于 AWS 网络防火墙。她在技术行业有超过二十年的经验，热衷于帮助客户轻松实施有效、可扩展的云解决方案以提高业务成果。

Jesse LepichJesse 是 AWS 的高级安全解决方案架构师，基于美国密苏里州的湖圣路易，专注于协助客户实施原生的 AWS 安全服务。除了云安全以外，他的兴趣包括与家人共享时光、赤脚滑水、单板滑雪、滑雪、冲浪、