AWS Network Firewall 更新預設丟棄動作,以提升連線可靠性

張貼日期: 2026年6月22日

AWS Network Firewall 現在將「應用程式丟棄已建立的連線 (僅限伺服器導向)」作為所有新建立防火牆策略的預設狀態動作,取代了先前名為「應用程式丟棄已建立的連線 (雙向)」(舊稱為「應用程式層丟棄已建立的連線」) 的預設動作。在建立新政策時,無需採取任何動作即可受益於這項變更。

AWS Network Firewall 是一項受管服務,可讓您在 Amazon VPC 中部署網路防護。先前,「應用程式丟棄已建立的連線 (雙向)」預設可能會悄悄捨棄合法的伺服器對用戶端 TCP 封包,例如視窗更新、保持連線和重設──導致難以診斷的間歇性連線故障。現在有了更安全的預設後,新政策可避免此問題。

如果您現有的環境需要「應用程式丟棄已建立的連線 (雙向)」來支援後量子密碼學 (PQC) 的分段 TLS 交握,請參閱我們的文件,了解如何切換至應用程式丟棄已建立的連線 (僅限伺服器導向),或將「to_server」旗標新增至您的 TCP 捨棄規則,以免封鎖合法的流量控制封包。

此更新已在提供 AWS Network Firewall 的所有 AWS 區域中推出。在 AWS Network Firewall 服務文件中,請參閱管理 Suricata 相容規則的評估順序以開始使用。