AWS Network Firewall memperbarui tindakan penolakan default untuk meningkatkan keandalan koneksi
AWS Network Firewall kini menggunakan "Application drop established (server-directed only)" sebagai tindakan stateful default untuk semua kebijakan firewall yang baru dibuat, menggantikan default sebelumnya yaitu "Application drop established (bidirectional)" (sebelumnya bernama "Application layer drop established"). Tidak diperlukan tindakan apa pun untuk mendapatkan manfaat dari perubahan ini saat membuat kebijakan baru.
AWS Network Firewall adalah layanan terkelola yang memungkinkan Anda menerapkan perlindungan jaringan di seluruh Amazon VPC Anda. Sebelumnya, default “Application drop established (bidirectional)” dapat secara diam-diam menghapus paket TCP server-ke-klien yang sah, seperti pembaruan jendela, keep-alive, dan reset — menyebabkan kegagalan koneksi sesekali yang sulit didiagnosis. Dengan default yang lebih aman, kebijakan baru dapat menghindari masalah ini.
Jika lingkungan Anda saat ini memerlukan “Application drop established (bidirectional)” untuk mendukung handshake TLS terfragmentasi kriptografi pascakuantum (PQC), lihat dokumentasi kami untuk panduan tentang beralih ke "Application drop established (server-directed only)" atau menambahkan flag “to_server” ke aturan drop TCP Anda agar paket kontrol aliran yang sah tidak diblokir.
Pembaruan ini tersedia di semua AWS Region tempat AWS Network Firewall ditawarkan. Untuk memulai, lihat Mengelola urutan evaluasi untuk aturan yang kompatibel dengan Suricata di dokumentasi layanan AWS Network Firewall.