AWS Network Firewall が、接続信頼性向上のためデフォルトのドロップアクションをアップデート

投稿日: 2026年6月22日

AWS Network Firewall は、新しく作成されるすべてのファイアウォールポリシーのデフォルトのステートフルアクションとして、従来の「Application drop established (bidirectional)」(旧名「Application layer drop established」) に代わり、「Application drop established (server-directed only)」を使用するようになりました。新しいポリシーを作成する際、この変更によるメリットを得るために必要な操作はありません。

AWS Network Firewall は、Amazon VPC 全体にネットワーク保護をデプロイできるマネージドサービスです。これまでは、デフォルトの「Application drop established (bidirectional)」によって、ウィンドウ更新、キープアライブ、リセットなどの正当なサーバーからクライアントへの TCP パケットが自動的にドロップされることがありました。これにより、診断が困難な断続的な接続エラーが発生していました。より安全なデフォルトが適用されたことで、新しいポリシーではこの問題を回避できます。

ポスト量子暗号 (PQC) の断片化された TLS ハンドシェイクをサポートするために、既存の環境で「Application drop established (bidirectional)」が必要な場合は、公式ドキュメントを参照して、「Application drop established (server-directed only)」への切り替え、または TCP ドロップルールへの「to_server」フラグの追加に関するガイダンスを確認してください。これにより、正当なフロー制御パケットがブロックされなくなります。

このアップデートは、AWS Network Firewall が提供されているすべての AWS リージョンで利用可能です。開始するには、AWS Network Firewall のサービスドキュメントにある Managing evaluation order for Suricata compatible rules をご覧ください。