AWS 网络安全产品全景图与最佳实践

发表于 2026-03-10 分类于工作， AWS ，文档本文字数： 36k 阅读时长 ≈ 40 分钟

AWS 网络安全产品全景图与最佳实践

文档版本：2026-03-10
适用范围：AWS 国际区 & AWS 中国区（北京/宁夏）

📋 产品一览表

产品/服务	分类	核心功能	AWS 国际区	AWS 中国区	备注
AWS Shield Standard	DDoS 防护	L3/L4 DDoS 自动防护	✅ 可用	✅ 可用	所有区域默认启用
AWS Shield Advanced	DDoS 防护	增强 DDoS 防护 + DRT 支持	✅ 可用	⚠️ 功能受限	中国区功能子集
AWS WAF	Web 应用防火墙	L7 HTTP/HTTPS 流量过滤	✅ 可用	✅ 可用	中国区仅区域级支持
AWS Network Firewall	网络防火墙	有状态/无状态流量检查	✅ 可用	✅ 可用	2024 年在中国区上线
Amazon GuardDuty	威胁检测	基于 ML 的智能威胁检测	✅ 可用	✅ 可用	中国区不支持 PrivateLink 集成
AWS Security Hub	安全态势管理	统一安全发现聚合	✅ 可用	✅ 可用	中国区不支持 Control Tower 标准
Security Groups	访问控制	实例级有状态防火墙	✅ 可用	✅ 可用	所有区域
Network ACLs	访问控制	子网级无状态防火墙	✅ 可用	✅ 可用	所有区域
Route 53 Resolver DNS Firewall	DNS 安全	出站 DNS 查询过滤	✅ 可用	✅ 可用	2022 年在中国区上线
AWS PrivateLink	私有连接	VPC 私有端点服务	✅ 可用	✅ 可用	所有区域
VPC Endpoints	私有连接	AWS 服务私有访问	✅ 可用	✅ 可用	所有区域
AWS Transit Gateway	网络枢纽	集中式网络路由	✅ 可用	✅ 可用	中国区 VPN 功能受限
Gateway Load Balancer	流量分发	透明流量插入	✅ 可用	✅ 可用	所有区域
Amazon CloudFront	CDN + 安全	边缘分发 + 防护	✅ 可用	✅ 可用	中国区为独立分区
AWS Firewall Manager	集中管理	多账户安全策略管理	✅ 可用	✅ 可用	2021 年在中国区上线

图例说明

✅ 可用：功能完整可用
⚠️ 功能受限：服务可用但部分功能不支持
❌ 不可用：服务未在该区域提供

🌍 AWS 中国区特殊说明

区域信息

cn-north-1：中国（北京）区域 - 由光环新网（Sinnet）运营
cn-northwest-1：中国（宁夏）区域 - 由西云数据（NWCD）运营

关键差异

账号隔离：中国区需要单独注册账号，与国际区账号完全隔离
网络隔离：中国区与 AWS 全球骨干网络物理隔离，符合中国法规要求
服务子集：部分服务功能为国际区的子集
计费货币：使用人民币（RMB）计费
合规要求：需提供中国工商营业执照

中国区功能限制

服务	限制说明
WAF	仅支持区域级部署（ALB、API Gateway），不支持 CloudFront 全球级
GuardDuty	不支持 VPC Endpoint (PrivateLink) 集成
Security Hub	不支持 Service-Managed Standard: AWS Control Tower
Route 53	不支持 DNSSEC 签名
Transit Gateway	VPN 功能为功能子集
CloudFront	独立分区（CloudFront China），PoP 节点仅在中国大陆

🛡️ 产品详细信息

⚡ 重要：AWS 7 层网络包检测能力

关键问题：AWS 是否支持 SSH/FTP/RDP 等非 HTTP 协议的 7 层深度检测？
答案：✅ 完全支持！

🎯 核心能力总结

AWS 通过 AWS Network Firewall 提供完整的 7 层（应用层）深度包检测（DPI），支持：

✅ SSH (Port 22) - 暴力破解检测、隧道检测
✅ FTP/FTPS (Port 21, 20) - 数据外泄防护、文件类型过滤
✅ RDP (Port 3389) - 暴力破解检测、异常会话检测
✅ Telnet (Port 23) - 协议检测和阻止
✅ SMTP/SMTPS (Port 25, 587, 465) - 邮件协议检测
✅ 数据库协议 (MySQL, PostgreSQL, MSSQL, MongoDB, Redis)
✅ SMB/CIFS (Port 445, 139) - 文件共享协议检测
✅ LDAP (Port 389, 636) - 目录服务协议检测
✅ DNS (Port 53) - DNS 隧道检测
✅ 自定义应用协议 - 通过 Suricata 规则自定义

🔧 技术实现

基于 Suricata 开源 IDS/IPS 引擎 - 协议解码和状态跟踪 - 深度包内容检查 - 应用层行为分析 - TLS/SSL 解密检查（2026 增强）

📋 实战示例

SSH 暴力破解防护

# 检测 SSH 暴力破解
alert ssh any any -> $HOME_NET 22 (
    msg:"SSH Brute Force Attempt Detected";
    flow:to_server;
    detection_filter:track by_src, count 5, seconds 60;
    sid:3000001;
)

# 阻止 SSH 暴力破解
drop ssh any any -> $HOME_NET 22 (
    msg:"SSH Brute Force Blocked";
    flow:to_server;
    detection_filter:track by_src, count 10, seconds 60;
    sid:3000002;
)

FTP 数据外泄防护

# 阻止敏感文件上传
drop ftp any any -> any 21 (
    msg:"Block SQL File Upload via FTP";
    content:"STOR"; nocase;
    content:".sql"; distance:0; nocase;
    sid:3000010;
)

# 检测大文件传输
alert ftp-data any any -> any any (
    msg:"Large FTP Transfer Detected";
    flow:to_server;
    byte_test:4,>,100000000,0,relative;
    sid:3000011;
)

数据库协议检测

# MySQL 异常查询
alert tcp any any -> $HOME_NET 3306 (
    msg:"MySQL Information Schema Query";
    content:"SELECT"; nocase;
    content:"information_schema"; distance:0; nocase;
    sid:3000020;
)

# PostgreSQL 命令执行阻止
drop tcp any any -> $HOME_NET 5432 (
    msg:"PostgreSQL Command Execution Blocked";
    content:"COPY"; nocase;
    content:"PROGRAM"; distance:0; nocase;
    sid:3000021;
)

RDP 暴力破解防护

alert tcp any any -> $HOME_NET 3389 (
    msg:"RDP Brute Force Attempt";
    flow:to_server; flags:S;
    threshold:type both, track by_src, count 10, seconds 60;
    sid:3000030;
)

🏗️ 方案对比

能力	AWS Network Firewall	第三方 NGFW (Palo Alto)	GuardDuty
SSH 检测	✅ 完整支持	✅ 完整支持	⚠️ 行为检测
FTP 检测	✅ 完整支持	✅ 完整支持	❌ 不支持
RDP 检测	✅ 完整支持	✅ 完整支持	⚠️ 行为检测
数据库协议	✅ 支持	✅ 完整支持	⚠️ 有限
自定义协议	✅ Suricata 规则	✅ 自定义签名	❌ 不支持
TLS 解密	✅ 支持（2026）	✅ 完整支持	❌ 不支持
应用识别	⚠️ 基于规则	✅ App-ID (2000+)	❌ 不支持
DLP	⚠️ 有限	✅ 完整支持	❌ 不支持
托管服务	✅ 完全托管	❌ 自管理	✅ 完全托管
成本	💰 中等	💰💰💰 高	💰 低
中国区可用	✅ 可用	✅ 可用	✅ 可用

🎯 推荐方案

方案 1：纯 AWS 原生（✅ 推荐 80% 场景）

AWS Network Firewall + GuardDuty + Security Hub

✅ 优势：
├─ 完全托管，无需维护
├─ 支持所有常见协议（SSH、FTP、RDP、数据库）
├─ Suricata 规则灵活强大
├─ 与 AWS 服务深度集成
├─ 成本可控（约 $350-500/月）
└─ 中国区完整可用

📌 适用场景：
├─ 标准企业应用
├─ 需要检测常见协议
├─ 合规要求（PCI-DSS、HIPAA）
└─ 多 VPC 集中检查

方案 2：混合方案（⚠️ 高安全要求）

AWS Network Firewall（基础）+ Palo Alto VM-Series（高级）

✅ 优势：
├─ 分层防御
├─ NFW 处理大流量基础过滤
├─ Palo Alto 处理高价值流量深度检测
├─ 应用级可见性和控制（2000+ 应用）
└─ 高级威胁防护 + DLP

📌 适用场景：
├─ 金融、政府、医疗行业
├─ 需要应用级精细控制
├─ 需要 DLP 功能
└─ 零信任架构

💰 成本：约 $1,500-3,000/月

方案 3：纯第三方 NGFW（🔒 最高安全）

Gateway Load Balancer + Palo Alto / Fortinet / Check Point

✅ 优势：
├─ 最强大的 7 层检测能力
├─ 2000+ 应用识别（App-ID）
├─ 高级威胁防护（沙箱、零日防护）
├─ 完整 DLP 功能
└─ 统一管理平台（多云）

📌 适用场景：
├─ 已有第三方防火墙许可
├─ 需要最高级别安全
├─ 复杂应用环境
└─ 多云统一管理

💰 成本：约 $2,000-5,000/月

📊 性能和成本

AWS Network Firewall

💰 成本模型（1 TB/月流量）：
├─ 端点费用：$0.395/小时 × 24 × 30 = $284.4
├─ 数据处理：$0.065/GB × 1000 = $65
└─ 总计：约 $350/月

⚡ 性能：
├─ 单端点：最高 100 Gbps
├─ 自动扩展
└─ 亚毫秒级延迟

第三方 NGFW（Palo Alto）

💰 成本模型：
├─ 许可费用：$3,000-10,000/年
├─ EC2 实例：$500-2,000/月
├─ GWLB：$0.0125/小时 + $0.004/GB
└─ 总计：约 $1,000-3,000/月

🚨 关键限制

AWS Network Firewall - ⚠️ 应用识别不如 Palo Alto App-ID 智能 - ⚠️ DLP 能力有限 - ⚠️ 需要 Suricata 规则编写能力

第三方 NGFW - ⚠️ 成本高（许可 + 基础设施） - ⚠️ 需要专业团队维护 - ⚠️ 性能瓶颈需要规划

🎓 最佳实践

分层检测策略

Layer 1: Security Groups + NACLs（基础过滤）
Layer 2: Network Firewall（协议检测 + IPS）
Layer 3: GuardDuty（威胁情报 + 行为分析）
Layer 4: Security Hub（统一管理）

规则优化
- 使用 AWS Managed Rule Groups（预构建规则）
- 自定义 Suricata 规则针对业务场景
- 定期更新规则库
- 使用 Alert 模式测试新规则
性能优化
- 无状态规则处理高频流量
- 有状态规则处理需要深度检查的流量
- 跨多个 AZ 部署端点
- 监控处理延迟和丢包率

📚 相关文档

1. 边界防护层

1.1 AWS Shield - DDoS 防护

产品定位

分布式拒绝服务（DDoS）攻击防护服务

版本对比

特性	Shield Standard	Shield Advanced
价格	免费（自动包含）	按月订阅 + 数据传输费用
防护层级	L3/L4 网络层	L3/L4 + L7 应用层
防护资源	CloudFront, Route 53	+ ELB, EC2 EIP, Global Accelerator
DRT 支持	❌	✅ 24/7 DDoS 响应团队
成本保护	❌	✅ DDoS 导致的费用豁免
实时可见性	基础	✅ 详细攻击指标和报告
WAF 集成	❌	✅ 自动 WAF 规则
Health-Based Detection	❌	✅ 基于应用健康的检测

适用场景

Standard：所有面向公网的应用（默认启用）
Advanced：
- 关键业务应用需要 SLA 保障
- 需要专家团队支持
- 高流量应用（成本保护价值高）
- 合规要求（金融、政府）

最佳实践

架构设计
- 使用 CloudFront 作为第一道防线
- 配合 Route 53 实现 DNS 层防护
- 隐藏源站 IP 地址
Shield Advanced 配置
- 启用 Health-Based Detection
- 配置 CloudWatch 告警
- 定期演练 DRT 响应流程
- 使用 Network Security Director（2026 新功能）自动识别配置缺陷
监控指标
- DDoSDetected：检测到的攻击
- DDoSAttackBitsPerSecond：攻击流量大小
- DDoSAttackPacketsPerSecond：攻击包速率

区域可用性

国际区：✅ 全功能可用
中国区：✅ Standard 可用，⚠️ Advanced 功能受限

1.2 AWS WAF - Web 应用防火墙

产品定位

应用层（L7）HTTP/HTTPS 流量过滤和防护

核心功能

规则引擎：基于条件的流量过滤
检查能力：
- IP 地址和地理位置
- HTTP 头、URI、查询字符串
- 请求体（JSON/XML）
- Cookie 和请求方法
Bot Control：机器人管理和缓解
Rate Limiting：速率限制（防 DDoS/爬虫）
Managed Rules：
- AWS Managed Rules（免费和付费）
- AWS Marketplace Managed Rules（第三方厂商）

支持的资源

Amazon CloudFront（全球边缘）
Application Load Balancer（区域级）
API Gateway REST API（区域级）
AWS AppSync GraphQL API（区域级）

规则类型

规则类型	说明	用途
IP Set	IP 地址白名单/黑名单	阻止已知恶意 IP
Geo Match	地理位置匹配	地域访问控制
Rate-based	速率限制	防 DDoS、防爬虫
String Match	字符串匹配	SQL 注入、XSS 防护
Regex Pattern	正则表达式	复杂模式匹配
Size Constraint	大小限制	防止超大请求
SQL Injection	SQL 注入检测	OWASP Top 10 防护
XSS	跨站脚本检测	OWASP Top 10 防护

适用场景

OWASP Top 10 防护：使用 Core Rule Set (CRS)
API 保护：速率限制 + 请求验证
地理限制：合规要求的区域访问控制
Bot 管理：区分好坏机器人
DDoS 缓解：配合 Shield Advanced

最佳实践

1. 规则优先级设计

优先级 1: Allow 规则（白名单 IP/路径）
优先级 2: Rate-based 规则（速率限制）
优先级 3: AWS Managed Rules（基线防护）
优先级 4: Custom Rules（业务逻辑）
优先级 5: Block 规则（黑名单）
默认动作: Allow 或 Block（根据安全策略）

2. 日志和监控 - 启用日志记录到 S3/CloudWatch Logs/Kinesis - 使用 Athena 分析日志 - 配置 CloudWatch 指标告警 - 集成 Security Hub 统一管理

3. 测试策略 - 使用 Count 模式测试新规则（不阻止流量） - 逐步从 Count 切换到 Block - 监控误报率 - 配置 Suppression Rules 减少误报

4. 成本优化 - 优先使用 AWS Managed Rules（降低维护成本） - 合理配置采样率 - 使用 Firewall Manager 跨账户共享规则

区域可用性

国际区：✅ 全功能可用（CloudFront 全球级 + 区域级）
中国区：✅ 可用，⚠️ 仅支持区域级部署（ALB、API Gateway）

2. 网络流量检查层

2.1 AWS Network Firewall - 托管网络防火墙

产品定位

完全托管的有状态网络防火墙和 IDS/IPS 服务（2020 年推出）

核心能力

1. 有状态检查（Stateful Inspection） - 跟踪连接状态（TCP/UDP 会话） - 支持 5-tuple 过滤（源 IP、目标 IP、源端口、目标端口、协议） - 基于 Suricata 兼容规则引擎

2. 有状态规则类型 - Domain List：FQDN 过滤（允许/拒绝域名访问） - Standard Stateful Rules：5-tuple + 协议检查 - Suricata Compatible Rules：完整 IPS/IDS 规则

3. 无状态规则（Stateless Rules） - 快速数据包过滤 - 优先级评估 - 适用于高性能场景

4. 高级功能（2026 增强） - TLS/HTTPS 检查：解密加密流量进行深度检测 - TLS Proxy（2026 新增）：SNI 和域名欺骗防护 - AWS Managed Rule Groups：预构建威胁情报 - Partner Managed Rules（2026 新增）：第三方安全厂商规则集成

5. 🔥 7 层深度包检测（DPI）能力

重要：Network Firewall 支持完整的应用层协议检测，不仅限于 HTTP/HTTPS！

支持的协议检测（完整列表）

应用层协议：
├─ SSH (Port 22) - 暴力破解、隧道检测
├─ FTP/FTPS (Port 21, 20) - 数据外泄、文件过滤
├─ Telnet (Port 23) - 协议检测和阻止
├─ SMTP/SMTPS (Port 25, 587, 465) - 邮件协议
├─ DNS (Port 53) - DNS 隧道检测
├─ TFTP (Port 69) - 简单文件传输
├─ HTTP/HTTPS (Port 80, 443) - Web 流量
├─ POP3/IMAP (Port 110, 143, 993, 995) - 邮件接收
├─ SMB/CIFS (Port 445, 139) - 文件共享
├─ RDP (Port 3389) - 远程桌面
├─ MySQL (Port 3306) - 数据库协议
├─ PostgreSQL (Port 5432) - 数据库协议
├─ MSSQL (Port 1433) - 数据库协议
├─ MongoDB (Port 27017) - NoSQL 数据库
├─ Redis (Port 6379) - 缓存数据库
├─ LDAP (Port 389, 636) - 目录服务
└─ 自定义应用协议 - Suricata 规则自定义

检测能力 - ✅ 协议解码和状态跟踪 - ✅ 深度包内容检查 - ✅ 应用层命令和参数检查 - ✅ 文件类型识别和过滤 - ✅ 数据外泄检测 - ✅ 暴力破解检测 - ✅ 协议异常检测 - ✅ 加密隧道检测

实战示例

SSH 暴力破解防护

# 检测 SSH 暴力破解
alert ssh any any -> $HOME_NET 22 (
    msg:"SSH Brute Force Attempt";
    flow:to_server;
    detection_filter:track by_src, count 5, seconds 60;
    sid:1000001;
)

# 阻止 SSH 暴力破解
drop ssh any any -> $HOME_NET 22 (
    msg:"SSH Brute Force Blocked";
    flow:to_server;
    detection_filter:track by_src, count 10, seconds 60;
    sid:1000002;
)

# 检测 SSH 隧道（大流量）
alert ssh any any -> any any (
    msg:"SSH Tunnel Detected";
    flow:established;
    byte_test:4,>,1000000,0,relative;
    sid:1000003;
)

FTP 数据外泄防护

# 阻止敏感文件上传
drop ftp any any -> any 21 (
    msg:"Block SQL File Upload";
    content:"STOR"; nocase;
    content:".sql"; distance:0; nocase;
    sid:1000010;
)

# 检测大文件传输
alert ftp-data any any -> any any (
    msg:"Large FTP Transfer";
    flow:to_server;
    byte_test:4,>,100000000,0,relative;
    sid:1000011;
)

# 阻止 FTP 匿名登录
drop ftp any any -> $HOME_NET 21 (
    msg:"FTP Anonymous Login Blocked";
    content:"USER anonymous"; nocase;
    sid:1000012;
)

数据库协议检测

# MySQL 异常查询
alert tcp any any -> $HOME_NET 3306 (
    msg:"MySQL Information Schema Query";
    content:"SELECT"; nocase;
    content:"information_schema"; distance:0; nocase;
    sid:1000020;
)

# PostgreSQL 命令执行
drop tcp any any -> $HOME_NET 5432 (
    msg:"PostgreSQL Command Execution Blocked";
    content:"COPY"; nocase;
    content:"PROGRAM"; distance:0; nocase;
    sid:1000021;
)

# MySQL 注入尝试
alert tcp any any -> $HOME_NET 3306 (
    msg:"MySQL SQL Injection Attempt";
    content:"UNION"; nocase;
    content:"SELECT"; nocase;
    sid:1000022;
)

RDP 暴力破解防护

alert tcp any any -> $HOME_NET 3389 (
    msg:"RDP Brute Force Attempt";
    flow:to_server; flags:S;
    threshold:type both, track by_src, count 10, seconds 60;
    sid:1000030;
)

SMB 恶意活动检测

# 检测 EternalBlue 漏洞利用
alert smb any any -> $HOME_NET 445 (
    msg:"SMB EternalBlue Exploit Attempt";
    content:"|ff|SMB";
    content:"NT LM 0.12";
    sid:1000040;
)

部署架构

集中式检查架构（推荐）

graph TB
    IGW[Internet Gateway / VPN]
    IGW --> InspectionVPC
    
    subgraph InspectionVPC[Inspection VPC]
        NFW[Network Firewall Endpoints<br/>Multi-AZ Deployment]
    end
    
    InspectionVPC --> TGW[Transit Gateway<br/>Appliance Mode Enabled]
    
    TGW --> VPC1[VPC 1]
    TGW --> VPC2[VPC 2]
    TGW --> VPC3[VPC 3]
    
    style InspectionVPC fill:#e1f5ff
    style TGW fill:#fff4e1

流量类型 - North-South：互联网出入站流量 - East-West：VPC 间流量 - Hybrid：本地数据中心与 VPC 流量

graph LR
    subgraph Traffic Types
        NS[North-South<br/>Internet Traffic]
        EW[East-West<br/>VPC-to-VPC Traffic]
        HY[Hybrid<br/>On-Prem to VPC]
    end
    
    NS --> IGW[Internet Gateway]
    EW --> TGW[Transit Gateway]
    HY --> VPN[VPN/Direct Connect]
    
    IGW --> NFW[Network Firewall]
    TGW --> NFW
    VPN --> NFW
    
    style NFW fill:#ff9999

规则组管理

规则组类型 1. Stateless Rule Groups：快速过滤 2. Stateful Rule Groups：深度检查 3. AWS Managed Rule Groups： - Threat Signature Base - Threat Signature Emerging - Malware Protection - Bot Control

适用场景

多 VPC 集中检查：企业级网络架构
出站流量过滤：防止数据外泄
入站 IPS/IDS：威胁检测和阻断
合规要求：PCI-DSS、HIPAA 等
替代第三方防火墙：降低成本和复杂度

最佳实践

1. 架构设计 - 部署在独立的 Inspection VPC - 跨多个可用区部署（高可用） - 启用 Transit Gateway Appliance Mode（流量对称性） - 使用 PrivateLink 私有访问（2024 中国区支持）

2. 规则优化 - 分离有状态和无状态规则 - 无状态规则处理高频流量 - 使用 Rule Variables 简化管理 - 定期更新 AWS Managed Rules

3. TLS 检查配置 - 启用 TLS 检查检测加密流量威胁 - 配置证书和私钥 - 注意性能影响（解密开销）

4. 日志和监控 - 启用 Flow Logs 到 S3/CloudWatch - 启用 Alert Logs（IDS/IPS 告警） - 使用 CloudWatch Metrics 监控性能 - 集成 Security Hub

5. 成本优化 - 按端点小时数和流量处理量计费 - 集中式部署共享资源 - 合理配置日志保留策略

性能指标

吞吐量：每个 AZ 最高 100 Gbps
自动扩展：根据流量自动调整
延迟：亚毫秒级

区域可用性

国际区：✅ 全功能可用
中国区：✅ 2024 年上线，功能完整

2.2 Gateway Load Balancer + 第三方防火墙

产品定位

透明流量插入和负载均衡，支持第三方虚拟防火墙

支持的第三方防火墙

Palo Alto Networks VM-Series
Fortinet FortiGate
Check Point CloudGuard
Cisco Firepower
Juniper vSRX

架构特点

透明插入：不改变源/目标 IP
GENEVE 封装：保留原始流量信息
健康检查：自动故障转移
跨可用区：高可用部署

适用场景

需要高级 NGFW 功能（沙箱、高级 IPS）
已有第三方防火墙许可
特定合规要求
需要统一管理平台

最佳实践

启用 Appliance Mode：确保流量对称性
跨 AZ 部署：高可用和容灾
Cross-Zone Load Balancing：根据流量模式决定是否启用
监控健康检查：及时发现故障实例

区域可用性

国际区：✅ 全功能可用
中国区：✅ 全功能可用

3. 威胁检测与响应层

3.1 Amazon GuardDuty - 智能威胁检测

产品定位

基于机器学习和威胁情报的托管威胁检测服务

数据源

数据源	检测能力	启用方式
VPC Flow Logs	异常网络流量、端口扫描、C&C 通信	默认启用
CloudTrail 事件	异常 API 调用、权限提升、凭证泄露	默认启用
DNS 查询日志	DNS 隧道、DGA 域名、恶意域名	默认启用
S3 数据事件	异常数据访问、数据外泄	可选启用
EKS 审计日志	容器威胁、K8s 攻击	可选启用
Lambda 网络活动	无服务器威胁	可选启用
RDS 登录活动	数据库暴力破解、异常登录	可选启用
EBS 卷快照	恶意软件扫描	可选启用（Malware Protection）

检测类型

1. 网络威胁 - 异常出站通信（已知恶意 IP） - 端口扫描和探测 - 比特币挖矿活动 - 僵尸网络通信

2. 身份威胁 - 凭证泄露和滥用 - 异常 API 调用模式 - 权限提升尝试 - 未授权访问

3. 恶意软件 - 木马、勒索软件 - 后门和 Webshell - 加密货币挖矿程序 - 僵尸网络客户端

4. 数据外泄 - DNS 隧道 - 异常数据传输 - 未授权的 S3 访问

严重性级别

Low (0.1-3.9)：可疑活动，低风险
Medium (4.0-6.9)：异常行为，中等风险
High (7.0-8.9)：明确威胁，高风险
Critical (9.0-10.0)：严重威胁，需立即响应

适用场景

持续威胁监控：7x24 自动检测
合规审计：PCI-DSS、HIPAA、SOC 2
事件响应：快速识别和定位威胁
多账户管理：Organizations 集中管理

最佳实践

1. 启用所有保护功能

基础保护（默认）：
├─ VPC Flow Logs 分析
├─ CloudTrail 事件分析
└─ DNS 查询分析

可选保护（按需启用）：
├─ S3 Protection
├─ EKS Protection
├─ Lambda Protection
├─ RDS Protection
└─ Malware Protection

2. 自动化响应 - 集成 EventBridge 触发自动化 - Lambda 函数执行修复动作 - SNS 通知安全团队 - 隔离受感染资源

3. 误报管理 - 使用 Suppression Rules 过滤已知良性活动 - 定期审查和调整规则 - 标记可信 IP 和账户

4. 集成 Security Hub - 统一查看所有发现 - 关联分析多个数据源 - 自动化合规检查

5. 多账户管理 - 使用 Organizations 委托管理员 - 集中查看所有账户发现 - 统一配置保护功能

成本优化

按分析的日志量计费
选择性启用可选保护功能
使用 30 天免费试用评估成本
中国区提供 30 天免费试用

区域可用性

国际区：✅ 全功能可用
中国区：✅ 可用，⚠️ 不支持 PrivateLink 集成

3.2 AWS Security Hub - 统一安全态势管理

产品定位

云安全态势管理（CSPM）和安全发现聚合平台

核心功能

1. 发现聚合 集成以下 AWS 服务的安全发现： - Amazon GuardDuty（威胁检测） - Amazon Inspector（漏洞扫描） - Amazon Macie（数据安全） - AWS Firewall Manager（防火墙管理） - IAM Access Analyzer（权限分析） - AWS Systems Manager Patch Manager（补丁管理） - AWS Health（服务健康）

2. 合规检查 自动化合规标准检查： - AWS Foundational Security Best Practices - CIS AWS Foundations Benchmark - PCI DSS - NIST 800-53 - ISO 27001 - HIPAA（部分）

3. Security Hub Extended（2026 新增） - 跨域安全关联分析 - 使用 OCSF（Open Cybersecurity Schema Framework）标准化 - 统一 AWS 和第三方安全工具 - 增强的风险优先级排序

4. Shield Network Security Director 集成（2026 新增） - 自动识别网络安全配置缺陷 - 检查 WAF、Security Groups、NACLs 配置 - 提供修复建议 - 持续分析 AWS Organizations 网络

发现格式（ASFF）

AWS Security Finding Format - 标准化发现格式

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:...",
  "ProductArn": "arn:aws:securityhub:...",
  "GeneratorId": "...",
  "AwsAccountId": "123456789012",
  "Types": ["Software and Configuration Checks/..."],
  "Severity": {
    "Label": "HIGH",
    "Normalized": 70
  },
  "Title": "...",
  "Description": "...",
  "Remediation": {...},
  "Resources": [...]
}

适用场景

多账户安全管理：Organizations 集中管理
合规自动化：持续合规检查和报告
SOC 集成：统一安全运营视图
自动化修复：EventBridge + Lambda 自动响应
第三方工具集成：Splunk、Palo Alto、CrowdStrike 等

最佳实践

1. 多账户架构

graph TB
    MA[Management Account<br/>Organizations]
    
    MA --> SA[Security Account<br/>Security Hub Admin<br/>聚合所有成员账户发现]
    MA --> MEM[Member Accounts]
    
    MEM --> PROD[Production]
    MEM --> DEV[Development]
    MEM --> STAGE[Staging]
    
    style MA fill:#e1f5ff
    style SA fill:#ffe1e1

2. 自动化修复

graph LR
    SHF[Security Hub Finding] --> EBR[EventBridge Rule]
    EBR --> LF[Lambda Function /<br/>Step Functions]
    LF --> ACT[自动修复动作]
    
    ACT --> A1[隔离受感染实例]
    ACT --> A2[撤销过度权限]
    ACT --> A3[启用加密]
    ACT --> A4[修复安全组规则]
    ACT --> A5[发送通知]
    
    style SHF fill:#ffe1e1
    style ACT fill:#e1ffe1

3. 优先级管理 - 使用 Severity 和 Workflow Status 过滤 - 关注 CRITICAL 和 HIGH 严重性发现 - 使用 Custom Actions 集成 SOAR 平台 - 定期审查 Security Score

4. 合规管理 - 启用相关合规标准 - 定期生成合规报告 - 跟踪修复进度 - 使用 Suppression Rules 处理例外情况

5. 成本优化 - 按发现数量计费（每 10,000 个发现） - Extended 计划按账户计费 - 禁用不需要的安全标准 - 使用 Suppression Rules 减少重复发现

集成第三方工具

SIEM：Splunk、Sumo Logic、Datadog
SOAR：Palo Alto Cortex XSOAR、Splunk SOAR
Ticketing：Jira、ServiceNow
Notification：Slack、PagerDuty、Microsoft Teams

区域可用性

国际区：✅ 全功能可用
中国区：✅ 2020 年上线，⚠️ 不支持 Control Tower 标准

4. 网络访问控制层

4.1 Security Groups - 实例级防火墙

产品定位

有状态的虚拟防火墙，作用于 ENI（弹性网络接口）级别

核心特性

有状态：自动允许返回流量
仅 Allow 规则：默认拒绝所有，显式允许
实时生效：规则变更立即生效
多 SG 支持：每个实例最多 5 个 SG（可增加到 16）
规则容量：每个 SG 最多 60 条入站 + 60 条出站规则

规则组成

协议：TCP / UDP / ICMP / All
端口范围：单个端口或范围（如 80, 443, 1024-65535）
源/目标：
├─ CIDR 块（如 10.0.0.0/16）
├─ 另一个 Security Group ID
├─ Prefix List ID
└─ IPv6 CIDR
描述：规则说明（强烈推荐）

适用场景

微服务架构：服务间通信控制
多层应用：Web/App/DB 层隔离
动态环境：实例频繁变化
细粒度控制：精确到实例级别

最佳实践

1. 最小权限原则

❌ 不推荐：
Source: 0.0.0.0/0, Port: 22 (SSH)

✅ 推荐：
Source: 10.0.0.0/8 (内网), Port: 22
或
Source: sg-bastion-host, Port: 22

2. 引用其他 SG（推荐）

graph TB
    Internet[Internet 0.0.0.0/0]
    
    Internet -->|HTTPS:443| WebSG[Web Tier SG]
    WebSG -->|Port:8080| AppSG[App Tier SG]
    AppSG -->|MySQL:3306| DBSG[DB Tier SG]
    DBSG -->|HTTPS:443| Internet2[Internet<br/>for updates]
    
    style WebSG fill:#e1f5ff
    style AppSG fill:#ffe1f5
    style DBSG fill:#f5ffe1

3. 命名和标签

命名规范：
<环境>-<层级>-<用途>-sg
例如：prod-web-alb-sg, dev-app-ec2-sg

标签：
Environment: Production
Tier: Web
ManagedBy: Terraform
Owner: security-team

4. 定期审计 - 识别未使用的 SG - 检查过度宽松的规则（0.0.0.0/0） - 验证规则描述完整性 - 使用 AWS Config 持续监控

5. 避免的做法 - ❌ 使用 0.0.0.0/0 作为源（除非必要） - ❌ 开放所有端口（0-65535） - ❌ 缺少规则描述 - ❌ 一个 SG 用于所有资源

区域可用性

国际区：✅ 全功能可用
中国区：✅ 全功能可用

4.2 Network ACLs - 子网级防火墙

产品定位

无状态的防火墙，作用于子网级别

核心特性

无状态：需显式允许入站和出站
Allow + Deny 规则：支持显式拒绝
规则编号：按编号顺序评估（1-32766）
首次匹配：第一个匹配的规则生效
子网关联：每个子网必须关联一个 NACL

规则组成

规则编号：1-32766（建议间隔 100）
类型：Allow / Deny
协议：TCP / UDP / ICMP / All
端口范围：单个端口或范围
源/目标：CIDR 块

默认 NACL vs 自定义 NACL

特性	默认 NACL	自定义 NACL
默认规则	Allow All	Deny All
修改	可修改	完全自定义
推荐使用	❌ 不推荐	✅ 推荐

临时端口范围

Linux：32768-60999
Windows Server：49152-65535
NAT Gateway：1024-65535
ELB：1024-65535

适用场景

显式拒绝：阻止已知恶意 IP
子网级隔离：粗粒度网络分段
合规要求：需要无状态防火墙
多层防御：配合 SG 使用

最佳实践

1. 规则编号策略

100: Allow HTTP from Internet
110: Allow HTTPS from Internet
120: Allow SSH from Bastion
...
900: Deny known bad IPs
...
32766: Deny All (fallback)
* (默认): Deny All

2. 入站 + 出站配对

Inbound NACL:
100: Allow TCP 443 from 0.0.0.0/0
110: Allow TCP 1024-65535 from 0.0.0.0/0 (return traffic)

Outbound NACL:
100: Allow TCP 1024-65535 to 0.0.0.0/0 (return traffic)
110: Allow TCP 443 to 0.0.0.0/0 (outbound HTTPS)

3. 使用场景示例

场景：阻止特定 IP 访问
NACL Rule 50: Deny TCP All from 203.0.113.0/24
SG Rule: Allow 0.0.0.0/0:443

结果：该 IP 段被 NACL 阻止，其他流量通过 SG 允许

4. 避免的做法 - ❌ 过度复杂的规则集 - ❌ 忘记配置临时端口 - ❌ 使用默认 NACL 进行生产部署 - ❌ 规则编号不留间隔

Security Groups vs NACLs 对比

维度	Security Groups	Network ACLs
作用层级	实例（ENI）	子网
状态	有状态	无状态
规则类型	仅 Allow	Allow + Deny
规则评估	全部评估	顺序评估（首次匹配）
返回流量	自动允许	需显式允许
默认行为	拒绝所有入站	默认 NACL 允许所有
应用场景	细粒度控制	粗粒度控制 + 显式拒绝
推荐用途	主要防护机制	辅助防护 + 黑名单

区域可用性

国际区：✅ 全功能可用
中国区：✅ 全功能可用

5. DNS 安全层

5.1 Route 53 Resolver DNS Firewall

产品定位

出站 DNS 查询过滤和防护服务

核心功能

域名过滤：阻止/允许特定域名查询
DNS 隧道防护：检测和阻止 DNS 数据外泄
恶意域名拦截：基于威胁情报阻止恶意域名
AWS Managed Domain Lists：AWS 维护的恶意域名列表
DNS Firewall Advanced（2026 新增）：基于 ML 的实时威胁检测

规则动作类型

动作	说明	用途
ALLOW	允许查询	白名单可信域名
BLOCK	阻止查询，返回 NXDOMAIN	黑名单恶意域名
ALERT	允许查询但记录日志	监控可疑域名
OVERRIDE	返回自定义响应	重定向到安全页面

AWS Managed Domain Lists

列表名称	说明	更新频率
AWSManagedDomainsMalwareDomainList	已知恶意软件域名	持续更新
AWSManagedDomainsBotnetCommandAndControlDomainList	僵尸网络 C&C 域名	持续更新
AWSManagedDomainsAggregateThreatList	综合威胁域名列表	持续更新

GuardDuty 集成

自动同步 GuardDuty 发现的恶意域名
实时更新 DNS Firewall 规则
GuardDuty 威胁情报集成（2023 年在中国区上线）

适用场景

防止恶意软件通信：阻止 C&C 服务器域名
防止钓鱼攻击：阻止已知钓鱼域名
DNS 隧道防护：检测异常 DNS 查询模式
合规要求：域名访问控制审计
混合云环境：通过 Resolver Endpoints 保护本地网络

最佳实践

1. 规则优先级设计

优先级 1: ALLOW 规则（可信域名白名单）
├─ *.company.com
├─ *.amazonaws.com
└─ *.microsoft.com

优先级 2: BLOCK 规则（AWS Managed Lists）
├─ AWSManagedDomainsMalwareDomainList
├─ AWSManagedDomainsBotnetCommandAndControlDomainList
└─ GuardDuty 威胁情报

优先级 3: ALERT 规则（监控可疑域名）
└─ 新注册域名、DGA 域名

优先级 4: 自定义 BLOCK 规则
└─ 业务禁止访问的域名类别

2. 日志和监控

启用查询日志 → CloudWatch Logs
    ↓
分析工具：
├─ CloudWatch Insights（实时查询）
├─ Athena（历史分析）
└─ Lambda（自动化响应）

监控指标：
├─ 阻止的查询数量
├─ 触发 ALERT 的域名
└─ 查询量趋势

3. 混合云架构

graph TB
    OnPrem[本地数据中心]
    OnPrem -->|Direct Connect / VPN| VPC[VPC]
    VPC --> InEP[Route 53 Resolver<br/>Inbound Endpoint]
    InEP --> DNSFW[DNS Firewall 规则]
    DNSFW --> OutEP[Route 53 Resolver<br/>Outbound Endpoint]
    OutEP --> Target[Internet /<br/>Private Hosted Zones]
    
    style DNSFW fill:#ff9999
    style VPC fill:#e1f5ff

4. 规则组管理 - 创建可重用的规则组 - 跨多个 VPC 共享规则组 - 使用 Firewall Manager 集中管理 - 定期审查和更新自定义规则

5. 测试策略 - 使用 ALERT 模式测试新规则 - 监控误报率 - 逐步从 ALERT 切换到 BLOCK - 维护白名单处理误报

成本

按 VPC 关联数量计费
按 DNS 查询数量计费
AWS Managed Domain Lists 免费

区域可用性

国际区：✅ 全功能可用
中国区：✅ 2022 年上线，功能完整

6. 私有连接层

6.1 AWS PrivateLink / VPC Endpoints

产品定位

私有网络连接服务，流量不经过公网

端点类型

1. Interface Endpoints（接口端点） - 基于 ENI（弹性网络接口） - 支持大多数 AWS 服务 - 支持第三方 SaaS 服务 - 按小时 + 数据处理量计费

2. Gateway Endpoints（网关端点） - 基于路由表 - 仅支持 S3 和 DynamoDB - 免费

3. Gateway Load Balancer Endpoints - 用于流量检查（防火墙、IDS/IPS） - 透明插入

支持的 AWS 服务（Interface Endpoints）

EC2, ECS, EKS, Lambda
S3, DynamoDB, RDS, Redshift
CloudWatch, CloudTrail, Systems Manager
Secrets Manager, KMS, STS
API Gateway, AppSync
100+ AWS 服务

安全优势

流量不出 AWS 网络：降低数据泄露风险
减少攻击面：无需 Internet Gateway
细粒度访问控制：Endpoint Policy + Security Group
合规友好：满足数据本地化要求

适用场景

私有子网访问 AWS 服务：无需 NAT Gateway
跨账户服务共享：PrivateLink 服务
第三方 SaaS 集成：私有连接到 SaaS 提供商
混合云：本地数据中心私有访问 AWS 服务
合规要求：数据不能经过公网

最佳实践

1. Endpoint Policy 配置

{
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "o-xxxxxxxxxx"
        }
      }
    }
  ]
}

2. Security Group 控制

Interface Endpoint SG:
Inbound:
├─ TCP 443 from 10.0.0.0/8 (VPC CIDR)
└─ TCP 443 from sg-app-tier

Outbound:
└─ All traffic (return traffic)

3. Private DNS 配置 - 启用 Private DNS：使用标准服务端点名称 - 禁用 Private DNS：使用 VPC 特定端点名称

启用 Private DNS:
s3.amazonaws.com → 解析到 VPC Endpoint

禁用 Private DNS:
vpce-xxx.s3.amazonaws.com → 解析到 VPC Endpoint

4. 成本优化

场景：私有子网访问 S3

方案 1: NAT Gateway
成本 = NAT Gateway 小时费 + 数据处理费
      ≈ $0.045/小时 + $0.045/GB

方案 2: S3 Gateway Endpoint
成本 = 免费 ✅

方案 3: S3 Interface Endpoint
成本 = $0.01/小时 + $0.01/GB
      （仅在需要跨区域访问时使用）

推荐：S3 和 DynamoDB 使用 Gateway Endpoints

5. 监控和日志 - 启用 VPC Flow Logs 监控流量 - 使用 CloudWatch Metrics 监控端点健康 - 审计 Endpoint Policy 变更（CloudTrail）

PrivateLink 服务提供商架构

graph TB
    subgraph Provider[服务提供商 VPC]
        NLB[Network Load Balancer]
        NLB --> Backend[后端服务实例]
        VPCES[VPC Endpoint Service]
        NLB --> VPCES
        VPCES --> Allow[允许的消费者账户]
    end
    
    subgraph Consumer[服务消费者 VPC]
        IEP[Interface Endpoint]
        IEP -->|私有 IP 访问| Service[访问服务]
    end
    
    Allow -.->|授权| IEP
    
    style Provider fill:#e1f5ff
    style Consumer fill:#ffe1f5

区域可用性

国际区：✅ 全功能可用
中国区：✅ 全功能可用

6.2 AWS Transit Gateway

产品定位

云上网络中心枢纽，简化网络拓扑

核心功能

集中路由：单点连接所有 VPC
跨区域对等：加密的区域间连接
路由表隔离：网络分段和隔离
Appliance Mode：确保流量对称性（用于防火墙）
多播支持：支持多播流量

连接类型

VPC Attachments：连接 VPC
VPN Attachments：连接本地数据中心
Direct Connect Gateway：专线连接
Peering Attachments：跨区域 TGW 对等
Connect Attachments：SD-WAN 集成

安全功能

1. 路由表隔离

graph TB
    TGW[Transit Gateway]
    
    TGW --> ProdRT[生产路由表]
    TGW --> DevRT[开发路由表]
    TGW --> SharedRT[共享服务路由表]
    
    ProdRT --> ProdVPC1[生产 VPC 1]
    ProdRT --> ProdVPC2[生产 VPC 2]
    ProdRT --> InspVPC1[Inspection VPC]
    
    DevRT --> DevVPC1[开发 VPC 1]
    DevRT --> DevVPC2[开发 VPC 2]
    DevRT --> InspVPC2[Inspection VPC]
    
    SharedRT --> SharedVPC[共享服务 VPC]
    SharedRT --> AllVPC[所有 VPC]
    
    style ProdRT fill:#ffe1e1
    style DevRT fill:#e1ffe1
    style SharedRT fill:#e1f5ff

2. Appliance Mode（关键） - 用于有状态防火墙部署 - 确保流量对称性（同一 AZ 进出） - 配合 GWLB 或 Network Firewall 使用

3. 网络分段示例

graph TB
    TGW[Transit Gateway]
    
    TGW --> Prod[生产环境 - 隔离]
    TGW --> Dev[开发环境 - 隔离]
    TGW --> Shared[共享服务 - 所有环境可访问]
    TGW --> OnPrem[本地数据中心]
    
    Prod --> ProdVPC1[Prod VPC 1]
    Prod --> ProdVPC2[Prod VPC 2]
    
    Dev --> DevVPC1[Dev VPC 1]
    Dev --> DevVPC2[Dev VPC 2]
    
    Shared --> SharedVPC[Shared Services VPC]
    Shared --> InspVPC[Inspection VPC]
    
    OnPrem --> VPN[VPN / Direct Connect]
    
    style Prod fill:#ffe1e1
    style Dev fill:#e1ffe1
    style Shared fill:#e1f5ff

集中式安全检查架构

架构模式：Inspection VPC

graph TB
    IGW[Internet Gateway]
    
    IGW --> InspVPC[Inspection VPC]
    
    subgraph InspVPC
        PubSub[Public Subnet<br/>NAT Gateway]
        FWSub[Firewall Subnet<br/>NFW / GWLB]
        TGWSub[TGW Subnet<br/>TGW Attachment]
        
        PubSub --> FWSub
        FWSub --> TGWSub
    end
    
    TGWSub --> TGW[Transit Gateway<br/>Appliance Mode: Enabled]
    
    TGW --> SpokeVPCs[Spoke VPCs]
    
    SpokeVPCs --> ProdVPC1[Prod VPC 1]
    SpokeVPCs --> ProdVPC2[Prod VPC 2]
    SpokeVPCs --> DevVPC[Dev VPC]
    
    style InspVPC fill:#ffe1e1
    style TGW fill:#e1f5ff

流量路径：North-South（互联网出站）

graph LR
    Instance[Spoke VPC Instance]
    Instance -->|默认路由指向 TGW| TGW[Transit Gateway]
    TGW -->|路由到 Inspection VPC| NFW[Network Firewall /<br/>GWLB]
    NFW -->|检查后转发| NAT[NAT Gateway]
    NAT --> IGW[Internet Gateway]
    IGW --> Internet[Internet]
    
    style NFW fill:#ff9999

流量路径：East-West（VPC 间）

graph LR
    VPC1[VPC 1 Instance]
    VPC1 --> TGW1[Transit Gateway]
    TGW1 -->|路由到 Inspection VPC| NFW[Network Firewall /<br/>GWLB]
    NFW -->|检查后转发| TGW2[Transit Gateway]
    TGW2 --> VPC2[VPC 2 Instance]
    
    style NFW fill:#ff9999

适用场景

多 VPC 互联：替代复杂的 VPC Peering
混合云连接：统一连接本地数据中心
集中式安全检查：所有流量经过防火墙
网络分段：生产/开发/测试环境隔离
多区域架构：跨区域 TGW Peering

最佳实践

1. 路由设计 - 使用黑洞路由阻止特定流量 - 最长前缀匹配优先 - 避免路由环路

2. 高可用设计 - 每个 VPC 至少 2 个子网（跨 AZ） - 使用多个 VPN 连接（冗余） - 跨区域 TGW Peering（灾备）

3. 监控 - 启用 VPC Flow Logs - 使用 Network Manager 可视化拓扑 - 监控 TGW 指标（字节数、数据包数）

4. 成本优化 - 按附件小时数 + 数据处理量计费 - 合并小型 VPC 减少附件数 - 使用 VPC Peering 替代低流量连接

5. 安全加固 - 使用 IAM 策略控制 TGW 操作 - 启用 CloudTrail 审计配置变更 - 定期审查路由表配置

区域可用性

国际区：✅ 全功能可用
中国区：✅ 可用，⚠️ VPN 功能为子集

7. 内容分发安全层

7.1 Amazon CloudFront

产品定位

全球内容分发网络（CDN）+ 边缘安全防护

安全功能

1. DDoS 防护 - 集成 AWS Shield Standard（自动） - 集成 AWS Shield Advanced（可选） - 边缘位置分散攻击流量

2. Web 应用防护 - 集成 AWS WAF（边缘执行规则） - 在全球边缘节点阻止恶意请求 - 降低源站负载

3. 地理限制（Geo-Blocking） - 基于国家/地区的访问控制 - 支持白名单和黑名单模式 - 合规要求（版权、许可协议）

4. 访问控制 - Signed URLs：临时访问链接 - Signed Cookies：批量内容访问 - Origin Access Control (OAC)：保护 S3 源站 - Field-Level Encryption：字段级加密

5. 传输安全 - 强制 HTTPS - TLS 版本控制（最低 TLS 1.2） - 自定义 SSL 证书（ACM 集成） - HTTP 到 HTTPS 自动重定向

地理限制配置

白名单模式

允许访问的国家：
├─ US（美国）
├─ CA（加拿大）
└─ GB（英国）

其他国家：403 Forbidden

黑名单模式

拒绝访问的国家：
├─ CN（中国）
└─ RU（俄罗斯）

其他国家：允许访问

Origin Access Control (OAC)

保护 S3 源站

传统方式（不安全）:
Internet → S3 Public Bucket
问题：任何人都可以直接访问 S3

OAC 方式（安全）:
Internet → CloudFront → S3 Private Bucket
├─ S3 Bucket Policy 仅允许 CloudFront
└─ 直接访问 S3 返回 403

S3 Bucket Policy 示例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudfront.amazonaws.com"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-bucket/*",
      "Condition": {
        "StringEquals": {
          "AWS:SourceArn": "arn:aws:cloudfront::123456789012:distribution/EDFDVBD6EXAMPLE"
        }
      }
    }
  ]
}

适用场景

静态内容加速：网站、图片、视频
API 加速：全球 API 分发
视频流媒体：HLS、DASH 流媒体保护
软件分发：下载加速 + 访问控制
DDoS 防护：边缘分散攻击流量

最佳实践

1. 安全配置清单

✅ 启用 WAF 防护
✅ 配置 Geo-Restriction（如需要）
✅ 使用 OAC 保护 S3 源站
✅ 强制 HTTPS（Viewer Protocol Policy: Redirect HTTP to HTTPS）
✅ 最低 TLS 1.2（Security Policy: TLSv1.2_2021）
✅ 启用访问日志（到 S3）
✅ 配置自定义错误页面（403/404）
✅ 使用 ACM 证书（免费）

2. WAF 集成

CloudFront Distribution
    ↓
关联 Web ACL
    ↓
WAF 规则在边缘执行：
├─ AWS Managed Rules
├─ Rate-based Rules
├─ Geo Match Rules
└─ Custom Rules

优势：
├─ 在边缘阻止恶意请求
├─ 降低源站负载
└─ 全球统一防护策略

3. 访问控制策略

公开内容：
└─ 无需 Signed URLs/Cookies

付费内容：
└─ Signed URLs（单个文件）
    或 Signed Cookies（多个文件）

私有应用：
└─ Lambda@Edge 自定义认证

4. 监控和日志

实时监控：
├─ CloudWatch Metrics（请求数、错误率）
├─ CloudWatch Alarms（异常告警）
└─ Real-time Logs（Kinesis Data Streams）

历史分析：
├─ Standard Logs（S3）
└─ Athena 查询分析

5. 成本优化 - 使用 Price Class 限制边缘位置 - 启用压缩（Gzip/Brotli） - 合理设置 TTL（减少源站请求） - 使用 Origin Shield（额外缓存层）

CloudFront 中国区特殊说明

CloudFront China（独立分区） - 运营商：光环新网（北京）、西云数据（宁夏） - PoP 节点：仅在中国大陆 - 需要 ICP 备案 - 独立账号和计费 - 不与全球 CloudFront 互通

全球 vs 中国区对比

特性	CloudFront Global	CloudFront China
PoP 节点	全球 400+	中国大陆 30+
账号	AWS 全球账号	AWS 中国账号
ICP 备案	不需要	必须
WAF 集成	✅	✅
Shield 集成	✅	✅
价格	美元	人民币

区域可用性

国际区：✅ 全功能可用
中国区：✅ 独立分区（CloudFront China）

8. 集中管理层

8.1 AWS Firewall Manager

产品定位

多账户安全策略集中管理服务（需要 AWS Organizations）

管理范围

策略类型	管理内容	适用资源
WAF	Web ACL 规则	CloudFront, ALB, API Gateway
Shield Advanced	DDoS 防护	CloudFront, Route 53, ELB, EIP
Security Groups	安全组规则	EC2, ENI, VPC
Network Firewall	防火墙策略	VPC
Route 53 Resolver DNS Firewall	DNS 规则组	VPC
Network ACLs	NACL 规则	VPC 子网

核心功能

1. 策略类型 - 通用策略：应用于所有账户/OU - 内容审计策略：检查现有配置合规性 - 使用审计策略：检查资源是否使用指定安全服务

2. 自动修复 - 自动应用：新资源自动应用策略 - 自动修复：不合规资源自动修复 - 通知：发送不合规通知

3. 合规报告 - 跨账户合规状态 - 不合规资源列表 - 修复建议

适用场景

多账户环境：统一安全策略
合规自动化：持续合规检查
新账户保护：自动应用基线策略
集中审计：跨账户安全态势

最佳实践

1. Organizations 架构

graph TB
    MA[Management Account]
    
    MA --> SecOU[Security OU]
    MA --> ProdOU[Production OU]
    MA --> DevOU[Development OU]
    
    SecOU --> SecAcct[Security Account<br/>Firewall Manager Admin]
    
    ProdOU --> Prod1[Prod Account 1]
    ProdOU --> Prod2[Prod Account 2]
    
    DevOU --> Dev1[Dev Account 1]
    DevOU --> Dev2[Dev Account 2]
    
    style MA fill:#e1f5ff
    style SecOU fill:#ffe1e1

2. 策略设计示例

WAF 策略

策略名称：Baseline-WAF-Policy
范围：所有生产账户的 ALB
规则：
├─ AWS Managed Rules - Core Rule Set
├─ AWS Managed Rules - Known Bad Inputs
└─ Rate-based Rule (2000 req/5min)
自动修复：启用

Security Group 策略

策略名称：Block-SSH-From-Internet
范围：所有账户的所有 VPC
规则：
└─ 审计并标记允许 0.0.0.0/0:22 的 SG
自动修复：禁用（仅告警）

Network Firewall 策略

策略名称：Centralized-NFW-Policy
范围：所有生产 VPC
规则：
├─ AWS Managed Threat Signatures
├─ 出站 FQDN 过滤
└─ IPS/IDS 规则
自动修复：启用

3. 分层策略

全局策略（所有账户）:
├─ 基础 WAF 规则
└─ SSH 访问审计

生产环境策略:
├─ 增强 WAF 规则
├─ Network Firewall
└─ Shield Advanced

开发环境策略:
└─ 基础 WAF 规则

4. 监控和告警

graph LR
    FM[Firewall Manager]
    FM -->|不合规检测| EB[EventBridge Rule]
    EB --> SNS[SNS Topic]
    
    SNS --> Email[Email 通知]
    SNS --> Slack[Slack 通知]
    SNS --> Lambda[Lambda 自动修复]
    
    style FM fill:#e1f5ff
    style SNS fill:#ffe1e1

5. 成本管理 - Firewall Manager 本身免费 - 按管理的资源计费（WAF、Shield、NFW 等） - 集中管理降低重复配置成本

限制和注意事项

需要 AWS Organizations
需要指定委托管理员账户
策略变更可能需要时间传播
某些策略类型有区域限制

区域可用性

国际区：✅ 全功能可用
中国区：✅ 2021 年上线，2024 年增加 NFW 和 NACL 支持

📊 综合架构最佳实践

多层防御架构（Defense in Depth）

graph TB
    subgraph Layer1[Layer 1: 边缘防护]
        CF[CloudFront + WAF + Shield]
        DNS[Route 53 Resolver DNS Firewall]
        GEO[Geo-Blocking]
    end
    
    subgraph Layer2[Layer 2: 网络边界]
        NFW[Network Firewall]
        TGW[Transit Gateway]
        GW[Internet Gateway / NAT Gateway]
    end
    
    subgraph Layer3[Layer 3: VPC 内部]
        NACL[Network ACLs]
        SG[Security Groups]
        FL[VPC Flow Logs]
    end
    
    subgraph Layer4[Layer 4: 威胁检测]
        GD[GuardDuty]
        SH[Security Hub]
        CW[CloudWatch + EventBridge]
    end
    
    subgraph Layer5[Layer 5: 私有连接]
        PL[PrivateLink / VPC Endpoints]
    end
    
    Layer1 --> Layer2
    Layer2 --> Layer3
    Layer3 --> Layer4
    Layer4 --> Layer5
    
    style Layer1 fill:#ffe1e1
    style Layer2 fill:#ffe1f5
    style Layer3 fill:#f5e1ff
    style Layer4 fill:#e1f5ff
    style Layer5 fill:#e1ffe1

企业级集中式检查架构

适用场景：多账户、多 VPC 环境

graph TB
    Internet[Internet]
    
    Internet --> IGW[Internet Gateway]
    
    IGW --> InspVPC[Inspection VPC]
    
    subgraph InspVPC
        PubSub[Public Subnet<br/>NAT Gateway]
        FWSub[Firewall Subnet<br/>Network Firewall<br/>GWLB Endpoints]
        TGWSub[TGW Subnet<br/>TGW Attachment]
        
        PubSub --> FWSub
        FWSub --> TGWSub
    end
    
    TGWSub --> TGW[Transit Gateway<br/>Appliance Mode: Enabled]
    
    TGW --> ProdVPC[Prod VPC<br/>Account1]
    TGW --> DevVPC[Dev VPC<br/>Account2]
    TGW --> TestVPC[Test VPC<br/>Account3]
    
    style InspVPC fill:#ffe1e1
    style TGW fill:#e1f5ff
    style ProdVPC fill:#ffe1f5
    style DevVPC fill:#e1ffe1
    style TestVPC fill:#f5ffe1

流量路径： 1. North-South（互联网出站）：Spoke VPC → TGW → NFW → NAT GW → IGW → Internet 2. East-West（VPC 间）：VPC 1 → TGW → NFW → TGW → VPC 2 3. Hybrid（本地到云）：On-Prem → VPN/DX → TGW → NFW → VPC

优势： - 统一安全策略 - 集中日志和监控 - 降低管理复杂度 - 成本优化（共享防火墙资源）

💰 成本优化建议

按服务成本分析

服务	计费模式	成本优化建议
Shield Standard	免费	默认启用，无需优化
Shield Advanced	$3,000/月 + 数据传输费	仅关键业务使用，利用成本保护
WAF	$5/Web ACL + $1/规则 + $0.60/百万请求	使用 Managed Rules，合理配置采样
Network Firewall	$0.395/端点小时 + $0.065/GB	集中式部署，共享资源
GuardDuty	$4.60/百万事件（VPC Flow） + $5/百万事件（CloudTrail）	选择性启用可选保护功能
Security Hub	$0.0010/发现/月	使用 Suppression Rules 减少重复发现
DNS Firewall	$0.125/VPC 关联/月 + $0.40/百万查询	跨 VPC 共享规则组
VPC Endpoints (Interface)	$0.01/小时 + $0.01/GB	S3/DynamoDB 使用 Gateway Endpoints（免费）
VPC Endpoints (Gateway)	免费	优先使用
Transit Gateway	$0.05/附件小时 + $0.02/GB	合并小型 VPC，使用 VPC Peering 替代低流量连接
CloudFront	$0.085/GB（美国）+ $0.0075/万请求	使用 Price Class，启用压缩
Firewall Manager	免费（按管理的资源计费）	集中管理降低重复配置

成本优化策略

1. 分层防护策略

基础层（所有环境）：
├─ Security Groups（免费）
├─ Network ACLs（免费）
├─ Shield Standard（免费）
└─ VPC Flow Logs（S3 存储成本）

增强层（生产环境）：
├─ WAF（关键应用）
├─ GuardDuty（全账户）
└─ Security Hub（全账户）

高级层（关键业务）：
├─ Shield Advanced
├─ Network Firewall
└─ DNS Firewall Advanced

2. 区域选择 - 中国区：人民币计费，价格可能不同 - 国际区：选择成本较低的区域（如 us-east-1）

3. 日志管理

成本优化：
├─ VPC Flow Logs → S3（而非 CloudWatch Logs）
├─ 使用 S3 Intelligent-Tiering
├─ 设置生命周期策略（30 天后归档）
└─ 采样日志（而非全量）

4. 资源共享 - 使用 Firewall Manager 跨账户共享规则 - 集中式 Network Firewall 部署 - 共享 Transit Gateway

🔍 监控和日志记录

关键日志源

日志类型	存储位置	保留期限建议	用途
VPC Flow Logs	S3 / CloudWatch	90 天	网络流量分析、异常检测
Network Firewall Logs	S3 / CloudWatch / Kinesis	90 天	防火墙告警、流量审计
WAF Logs	S3 / CloudWatch / Kinesis	90 天	Web 攻击分析
DNS Query Logs	CloudWatch Logs	30 天	DNS 异常检测
GuardDuty Findings	Security Hub / EventBridge	90 天	威胁响应
CloudTrail	S3	1 年+	API 审计、合规
CloudFront Access Logs	S3	30 天	CDN 访问分析

监控指标

1. DDoS 防护（Shield）

关键指标：
├─ DDoSDetected（检测到的攻击）
├─ DDoSAttackBitsPerSecond（攻击流量大小）
├─ DDoSAttackPacketsPerSecond（攻击包速率）
└─ DDoSAttackRequestsPerSecond（应用层攻击速率）

告警阈值：
└─ DDoSDetected = 1（立即告警）

2. WAF

关键指标：
├─ BlockedRequests（阻止的请求数）
├─ AllowedRequests（允许的请求数）
├─ CountedRequests（计数模式请求）
└─ RateBasedRuleTriggered（速率限制触发）

告警阈值：
├─ BlockedRequests 突增（可能遭受攻击）
└─ AllowedRequests 突降（可能误报）

3. Network Firewall

关键指标：
├─ Packets（处理的数据包数）
├─ DroppedPackets（丢弃的数据包）
├─ InvalidDroppedPackets（无效数据包）
└─ TLSErrors（TLS 检查错误）

告警阈值：
└─ DroppedPackets 突增（可能攻击或配置问题）

4. GuardDuty

关键指标：
├─ Finding Count by Severity
├─ Finding Count by Type
└─ Mean Time to Detect (MTTD)

告警阈值：
├─ HIGH/CRITICAL 发现（立即告警）
└─ 特定类型发现（如 CryptoCurrency:EC2/BitcoinTool）

5. Security Hub

关键指标：
├─ Security Score
├─ Failed Checks by Standard
├─ Critical/High Findings Count
└─ Mean Time to Remediate (MTTR)

告警阈值：
├─ Security Score 下降 > 10%
└─ Critical Findings > 0

日志分析工具

1. 实时分析

graph LR
    Logs[VPC Flow Logs / WAF Logs]
    Logs --> KDS[Kinesis Data Streams]
    
    KDS --> KDA[Kinesis Data Analytics<br/>实时 SQL 查询]
    KDS --> Lambda[Lambda<br/>实时处理]
    KDS --> OS[OpenSearch<br/>实时搜索和可视化]
    
    style KDS fill:#e1f5ff

2. 历史分析

graph LR
    S3[日志存储在 S3]
    S3 --> Glue[AWS Glue<br/>数据目录]
    Glue --> Athena[Amazon Athena<br/>SQL 查询]
    Athena --> QS[QuickSight<br/>可视化报表]
    
    style S3 fill:#e1f5ff
    style QS fill:#ffe1e1

3. 安全分析示例（Athena 查询）

查询被阻止的 IP 地址（WAF）

SELECT 
    httprequest.clientip as client_ip,
    COUNT(*) as blocked_count
FROM waf_logs
WHERE action = 'BLOCK'
    AND from_unixtime(timestamp/1000) > current_timestamp - interval '1' hour
GROUP BY httprequest.clientip
ORDER BY blocked_count DESC
LIMIT 10;

查询异常流量（VPC Flow Logs）

SELECT 
    srcaddr,
    dstaddr,
    dstport,
    SUM(bytes) as total_bytes
FROM vpc_flow_logs
WHERE action = 'REJECT'
    AND date_partition >= '2026/03/01'
GROUP BY srcaddr, dstaddr, dstport
HAVING SUM(bytes) > 1000000000
ORDER BY total_bytes DESC;

📋 合规框架映射

主要合规标准

合规标准	相关 AWS 服务	关键控制点
PCI-DSS	WAF, Shield, GuardDuty, Security Hub, Network Firewall, VPC Flow Logs	网络分段、入侵检测、日志审计
HIPAA	PrivateLink, VPC Endpoints, Network Firewall, GuardDuty, CloudTrail	数据加密、访问控制、审计日志
SOC 2	Security Hub, CloudTrail, VPC Flow Logs, GuardDuty, Config	持续监控、变更管理、事件响应
GDPR	CloudFront Geo-Restriction, Network Firewall, DNS Firewall, Macie	数据本地化、访问控制、数据保护
ISO 27001	所有安全服务	信息安全管理体系
NIST 800-53	Security Hub, GuardDuty, Config, CloudTrail	安全控制框架
FedRAMP	Network Firewall, Transit Gateway, Security Hub, CloudTrail	联邦云安全
CIS Benchmarks	Security Hub（自动检查）	配置基线

合规自动化

Security Hub 合规检查

graph TB
    SH[Security Hub]
    
    SH --> Standards[启用标准]
    
    Standards --> FSBP[AWS Foundational<br/>Security Best Practices]
    Standards --> CIS[CIS AWS Foundations<br/>Benchmark v1.4.0]
    Standards --> PCI[PCI DSS v3.2.1]
    Standards --> NIST[NIST 800-53 Rev. 5]
    
    SH --> Checks[自动检查项]
    
    Checks --> C1[EC2.2: VPC default SG]
    Checks --> C2[EC2.6: VPC flow logging]
    Checks --> C3[EC2.21: Network ACLs]
    Checks --> C4[GuardDuty.1: GuardDuty enabled]
    Checks --> C5[WAF.1: WAF logging]
    Checks --> C6[Shield.1: Shield Advanced]
    
    style SH fill:#e1f5ff
    style Standards fill:#ffe1e1
    style Checks fill:#e1ffe1

🚀 2026 年最新增强功能

新功能总结

服务	2026 新增功能	影响
Network Firewall	• Partner Managed Rules • TLS Proxy 功能	增强第三方集成和加密流量检测
GuardDuty	• 增强 ML 检测 • 90 秒内威胁检测	更快的威胁响应时间
Security Hub	• Security Hub Extended • OCSF 标准化 • 跨域关联分析	统一 AWS 和第三方安全工具
Shield	• Network Security Director • Security Hub 集成	自动识别网络配置缺陷
DNS Firewall	• DNS Firewall Advanced • 基于 ML 的实时检测	更智能的 DNS 威胁检测
WAF	• 更多 Partner Managed Rules	简化规则管理

技术趋势

1. 自动化和 AI/ML - GuardDuty 增强机器学习检测 - DNS Firewall Advanced 实时威胁分析 - Security Hub 智能优先级排序

2. 统一平台 - Security Hub Extended 跨域整合 - OCSF 标准化发现格式 - 第三方工具深度集成

3. 零信任架构 - PrivateLink 私有连接 - VPC Endpoints 消除公网暴露 - 细粒度访问控制

4. 集中式管理 - Firewall Manager 多账户策略 - Transit Gateway 集中路由 - Network Firewall 集中检查

📚 参考资源

📝 附录：快速决策树

选择合适的网络安全服务

graph TB
    Start[需要保护什么?]
    
    Start --> WebApp[Web 应用 / API]
    Start --> Network[网络流量 VPC 级别]
    Start --> DNS[DNS 查询]
    Start --> Threat[威胁检测]
    Start --> MultiAcct[多账户管理]
    
    WebApp --> Global[全球分发]
    WebApp --> Regional[区域部署]
    WebApp --> APIOnly[仅 API]
    
    Global --> CF[CloudFront + WAF + Shield]
    Regional --> ALB[ALB + WAF + Shield]
    APIOnly --> APIGW[API Gateway + WAF]
    
    Network --> Outbound[出站过滤]
    Network --> Inbound[入站 IPS/IDS]
    Network --> InterVPC[VPC 间流量]
    Network --> Basic[基础控制]
    
    Outbound --> NFW1[Network Firewall<br/>FQDN 过滤]
    Inbound --> NFW2[Network Firewall<br/>Suricata 规则]
    InterVPC --> TGWNFW[Transit Gateway +<br/>Network Firewall]
    Basic --> SGNACL[Security Groups +<br/>NACLs]
    
    DNS --> Malicious[恶意域名拦截]
    DNS --> Tunnel[DNS 隧道防护]
    DNS --> Custom[自定义域名过滤]
    
    Malicious --> DNSFW1[Route 53 Resolver<br/>DNS Firewall]
    Tunnel --> DNSFW2[DNS Firewall +<br/>GuardDuty]
    Custom --> DNSFW3[DNS Firewall<br/>自定义规则]
    
    Threat --> Monitor[持续监控]
    Threat --> Vuln[漏洞扫描]
    Threat --> Data[数据安全]
    Threat --> Unified[统一管理]
    
    Monitor --> GD[GuardDuty<br/>所有数据源]
    Vuln --> Insp[Inspector]
    Data --> Macie[Macie]
    Unified --> SHub[Security Hub]
    
    MultiAcct --> FWM[Firewall Manager<br/>集中策略]
    
    style Start fill:#e1f5ff
    style CF fill:#ffe1e1
    style NFW1 fill:#ffe1e1
    style DNSFW1 fill:#ffe1e1
    style GD fill:#ffe1e1

成本 vs 安全级别

基础安全（低成本）：
├─ Security Groups（免费）
├─ Network ACLs（免费）
├─ Shield Standard（免费）
├─ VPC Flow Logs（存储成本）
└─ CloudTrail（存储成本）
成本：< $100/月

标准安全（中等成本）：
├─ 基础安全 +
├─ WAF（关键应用）
├─ GuardDuty（全账户）
├─ Security Hub（全账户）
└─ DNS Firewall（关键 VPC）
成本：$500-2000/月

高级安全（高成本）：
├─ 标准安全 +
├─ Shield Advanced
├─ Network Firewall（集中式）
├─ DNS Firewall Advanced
└─ 第三方 NGFW（如需要）
成本：$5000+/月

🎯 实施路线图

阶段 1：基础防护（第 1-2 周）

目标：建立基本安全基线

✅ 配置 Security Groups（最小权限）
✅ 配置 Network ACLs（显式拒绝规则）
✅ 启用 VPC Flow Logs
✅ 启用 CloudTrail
✅ 启用 GuardDuty
✅ 启用 Security Hub

阶段 2：边缘防护（第 3-4 周）

目标：保护面向公网的应用

✅ 配置 CloudFront + WAF（如有 CDN 需求）
✅ 配置 ALB + WAF（区域应用）
✅ 启用 Shield Advanced（关键业务）
✅ 配置 WAF Managed Rules
✅ 启用 WAF 日志记录

阶段 3：网络检查（第 5-8 周）

目标：实施集中式流量检查

✅ 设计 Transit Gateway 架构
✅ 部署 Inspection VPC
✅ 配置 Network Firewall
✅ 启用 DNS Firewall
✅ 配置路由表（North-South + East-West）
✅ 测试流量路径

阶段 4：自动化和优化（第 9-12 周）

目标：自动化响应和持续优化

✅ 配置 EventBridge 自动响应
✅ 部署 Lambda 修复函数
✅ 启用 Firewall Manager（多账户）
✅ 配置 CloudWatch 告警
✅ 建立 SOC 流程
✅ 定期安全审计

📞 支持和联系

AWS 支持

国际区 - AWS Support Center: https://console.aws.amazon.com/support/ - AWS Premium Support: 24/7 技术支持

中国区 - 北京区域（Sinnet）: https://www.amazonaws.cn/ - 宁夏区域（NWCD）: https://www.amazonaws.cn/

紧急安全事件

AWS 安全团队 - Email: aws-security@amazon.com - 报告滥用: abuse@amazonaws.com

中国区安全团队 - 通过 AWS 中国区支持渠道联系

📄 文档变更历史

版本	日期	变更内容	作者
1.0	2026-03-10	初始版本，包含所有主要网络安全服务	AWS 安全专家

⚖️ 免责声明

本文档基于 2026 年 3 月的 AWS 服务状态编写。AWS 服务和功能可能会随时更新，请以 AWS 官方文档为准。

重要提示： - 中国区服务可用性和功能可能与国际区不同 - 价格信息仅供参考，请查询 AWS 官方定价页面 - 架构设计应根据具体业务需求调整 - 建议在生产环境部署前进行充分测试

文档结束

如需进一步咨询或定制化架构设计，请联系 AWS 解决方案架构师团队。