Die AWS Network Firewall aktualisiert die Standard-Drop-Aktion für eine verbesserte Verbindungszuverlässigkeit

Veröffentlicht am: 22. Juni 2026

Die AWS Network Firewall verwendet jetzt „Application drop established (server-directed only)“ als standardmäßige Stateful-Aktion für alle neu erstellten Firewall-Richtlinien und ersetzt damit die bisherige Standardeinstellung „Application drop established (bidirectional)“ (früher „Application layer drop established“). Es sind keine Maßnahmen erforderlich, um bei der Erstellung neuer Richtlinien von dieser Änderung zu profitieren.

AWS Network Firewall ist ein verwalteter Service, mit dem Sie Netzwerkschutz für Ihre Amazon-VPCs bereitstellen können. Bisher konnte die Standardeinstellung „Application drop established (bidirectional)“ legitime TCP-Pakete von Server zu Client, wie Fensteraktualisierungen, Keep-Alives und Resets im Hintergrund löschen, was zu zeitweiligen Verbindungsausfällen führte, die schwer zu diagnostizieren waren. Dank der sicheren Standardeinstellung wird dieses Problem bei neuen Richtlinien vermieden.

Wenn Ihre bestehende Umgebung „Application Drop Established (bidirectional)“ erfordert, um fragmentierte TLS-Handshakes der Post-Quanten-Kryptographie (PQC) zu unterstützen, finden Sie in unserer Dokumentation Anleitungen zum Wechsel zu „Application drop established (server-directed only)“ oder zum Hinzufügen der Kennzeichnung „to_server“ zu Ihren TCP-Drop-Regeln, damit legitime Flusskontrollpakete nicht blockiert werden.

Diese Funktion ist jetzt in allen AWS-Regionen verfügbar, in denen die AWS Network Firewall angeboten wird. Informationen zu den ersten Schritten finden Sie unter Verwaltung der Bewertungsreihenfolge für Suricata-kompatible Regeln in der Dokumentation zum AWS Network Firewall Service.