AWS Network Firewall อัปเดตการดำเนินการตัดทิ้งเริ่มต้นเพื่อปรับปรุงความเสถียรของการเชื่อมต่อ

โพสต์บน: 22 มิ.ย. 2026

ขณะนี้ AWS Network Firewall ใช้ "Application drop established (server-directed only)" เป็นการดำเนินการแบบ Stateful เริ่มต้นสำหรับนโยบายไฟร์วอลล์ทั้งหมดที่สร้างขึ้นใหม่ โดยแทนที่ค่าเริ่มต้นเดิม "Application drop established (bidirectional)" (ซึ่งเดิมใช้ชื่อว่า "Application layer drop established") ไม่จำเป็นต้องดำเนินการใด ๆ เพื่อได้รับประโยชน์จากการเปลี่ยนแปลงนี้เมื่อสร้างนโยบายใหม่

AWS Network Firewall เป็นบริการที่มีการจัดการซึ่งช่วยให้คุณสามารถติดตั้งใช้งานมาตรการป้องกันเครือข่ายใน Amazon VPC ของคุณได้ ก่อนหน้านี้ ค่าเริ่มต้น "Application drop established (bidirectional)" อาจทิ้งแพ็กเก็ต TCP ที่ถูกต้องตามปกติจากเซิร์ฟเวอร์ไปยังไคลเอ็นต์โดยที่ตรวจไม่พบได้ง่าย เช่น การอัปเดตหน้าต่างรับส่งข้อมูล (Window Updates), ข้อความรักษาการเชื่อมต่อ (Keep-Alives) และแพ็กเก็ตรีเซ็ต (Resets) ซึ่งส่งผลให้เกิดความล้มเหลวของการเชื่อมต่อเป็นครั้งคราวและยากต่อการวิเคราะห์หาสาเหตุ เมื่อมีการใช้ค่าเริ่มต้นที่ปลอดภัยยิ่งขึ้นนี้แล้ว นโยบายใหม่จะหลีกเลี่ยงปัญหาดังกล่าวได้

หากสภาพแวดล้อมที่มีอยู่ของคุณจำเป็นต้องใช้ "Application drop established (bidirectional)" เพื่อรองรับ TLS Handshake แบบแบ่งส่วนสำหรับการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัม (PQC) โปรดดูเอกสารประกอบของเราเพื่อรับคำแนะนำในการเปลี่ยนไปใช้ "Application drop established (server-directed only)" หรือเพิ่มแฟล็ก "to_server" ให้กับกฎการตัดแพ็กเก็ต TCP ของคุณ เพื่อไม่ให้แพ็กเก็ตควบคุมการไหลของข้อมูลที่ถูกต้องตามปกติถูกบล็อก

การอัปเดตนี้พร้อมใช้งานใน AWS Region ทุกแห่งที่มี AWS Network Firewall ให้บริการ ในการเริ่มต้นใช้งาน โปรดดูการจัดการลำดับการประเมินผลสำหรับกฎที่เข้ากันได้กับ Suricata ในเอกสารประกอบบริการ AWS Network Firewall