В Сетевом брандмауэре AWS обновлено действие отброса (drop) по умолчанию для повышения надежности соединения

Проведено: 22 июня 2026 г.

Сетевой брандмауэр AWS теперь использует действие Application drop established (server-directed only) (Отброс приложения установлен [только в направлении сервера]) в качестве действия с сохранением состояния по умолчанию для всех вновь созданных политик брандмауэра, заменив предыдущее значение по умолчанию Application drop established (bidirectional) (Отброс приложения установлен [в обоих направлениях]) (ранее называлось Application layer drop established [Отброс уровня приложения установлен]). Чтобы воспользоваться этим изменением при создании новых политик, не требуется никаких действий.

Сетевой брандмауэр AWS – это управляемый сервис, который позволяет развертывать средства сетевой защиты на Amazon VPC. Ранее действие по умолчанию «Отброс приложения установлен (в обоих направлениях)» могло без ответа клиенту отбрасывать легитимные направленные от сервера к клиенту пакеты TCP, такие как обновления окон и пакеты для поддержания и принудительного разрыва соединения, что приводило к периодическим сбоям соединения, которые было трудно диагностировать. Теперь, когда по умолчанию действует более безопасный режим, новые политики позволяют избежать этой проблемы.

Если в существующей среде требуется действие «Отброс приложения установлен (в обоих направлениях)» для поддержки фрагментированных сеансов согласования TLS в постквантовой криптографии (PQC), обратитесь к нашей документации, где вы найдете рекомендации по переходу на режим «Отброс приложения установлен (только в направлении сервера)» или добавлению флага to_server в правила отброса TCP, чтобы не блокировать легитимные пакеты управления потоком.

Это обновление доступно во всех регионах AWS, в которых предлагается Сетевой брандмауэр AWS. Для начала работы см. раздел Управление порядком оценки правил, совместимых с Suricata, в документации по Сетевому брандмауэру AWS.