Сетевой брандмауэр AWS

Сводная информация о ценах и тарифах

При использовании Сетевого брандмауэра AWS вы платите почасово за каждый адрес брандмауэра в каждом регионе и зоне доступности, а также за объем трафика, обрабатываемого адресом брандмауэра, по гигабайтам на регион и зону доступности. Плата за обработку данных начисляется за каждый гигабайт данных, переданный через адрес брандмауэра, независимо от источника или места назначения трафика.

Расширенная проверка

При использовании функции проверки TLS оплачивается дополнительная почасовая ставка за каждый регион и зону доступности для расширенной проверки. Дополнительная плата за обработку данных для трафика расширенной проверки сверх стандартной платы за обработку трафика в сетевом брандмауэре не взимается. 

Расширенная защита от угроз

Если в политике брандмауэра включены группы правил, управляемые активной защитой от угроз, вы платите дополнительную плату за объем трафика, обрабатываемого адресом брандмауэра. Этот трафик оплачивается за гигабайт в зависимости от региона и зоны доступности.

Несколько адресов брандмауэра

Если вы связываете брандмауэр с несколькими виртуальными частными облаками Amazon (VPC), вы платите стандартную почасовую ставку для каждого региона и зоны доступности за основной адрес брандмауэра в проверочном VPC. За каждый дополнительный адрес, связанный с этим брандмауэром в том же регионе и зоне доступности, вы отдельно платите сниженную почасовую ставку для каждого региона и зоны доступности. Скидки на шлюзы NAT применяются к трафику, обрабатываемому как через основные, так и через вторичные адреса, если они настроены в одном сетевом маршруте. Кроме того, вы оплачиваете объем трафика, обрабатываемого брандмауэром, по гигабайтам на регион и зону доступности.

Скидка на шлюз NAT

Если вы создадите Шлюз трансляции сетевых адресов (шлюз NAT) и разместите его рядом с Сетевым брандмауэром AWS в цепочке сервисов в своем аккаунте AWS, то не будете платить за использование стандартного шлюза NAT в час и за обработку данных. Этот отказ применяется по принципу «один к одному» при использовании стандартного адреса сетевого брандмауэра за час, дополнительных адресов VPC за час и стандартной обработки трафика брандмауэра как на основном, так и на дополнительном адресе. Чтобы воспользоваться скидкой, шлюз NAT должен быть настроен по тому же сетевому пути, что и адрес сетевого брандмауэра, и находиться в том же регионе, что и сетевой брандмауэр. 

Таблица цен (по регионам и зонам доступности)

Группы управляемых правил от партнеров AWS на платформе AWS Marketplace

При подписке на группу управляемых правил, предоставленную партнером на платформе AWS Marketplace, с пользователя будет взиматься дополнительная плата, зависящая от установленной продавцом цены. Плата за них взимается в дополнение к описанным ранее расходам, связанным с Сетевым брандмауэром AWS.

Пример 1. Стоимость сетевого брандмауэра со шлюзом NAT

В этом примере предположим, что вы создали сетевой брандмауэр и шлюз NAT. У вас также есть инстанс Amazon EC2, трафик которого направляется в Интернет через сетевой брандмауэр и шлюз NAT. Инстанс EC2 посылает файл размером 1 ГБ в один из ваших бакетов S3. Инстанс EC2, сетевой брандмауэр, шлюз NAT и бакет S3 расположены в регионе Восток США (Северная Вирджиния), сетевой брандмауэр, шлюз NAT и инстанс EC2 расположены в одной и той же зоне доступности. Плата взимается следующим образом.

  • Почасовой тариф адреса сетевого брандмауэра: 0,395 USD за каждый час работы адреса брандмауэра.
  • Плата за обработку данных сетевого брандмауэра: 0,065 USD за 1 ГБ данных, обработанных брандмауэром.
  • Почасовой тариф шлюза NAT: плата не взимается за каждый час работы адреса брандмауэра.
  • Плата за обработку данных шлюза NAT: плата за каждый гигабайт, обработанный шлюзом NAT, не взимается за каждый гигабайт, обработанный брандмауэром.
  • Плата за передачу данных EC2: применяется стандартный тариф за передачу данных EC2. Однако учитывая, что инстанс EC2 и бакет S3 находятся в одном регионе, плата за передачу данных между ними не взимается. Плата за передачу данных между шлюзом NAT и инстансом EC2 не взимается, так как трафик остается в пределах одной зоны доступности и используются частные IP-адреса. Если шлюз NAT и инстанс EC2 находятся в разных зонах доступности, взимается плата за передачу данных EC2. Подробнее см. в разделе «Передача данных» на странице цен на EC2.

Таким образом, общая стоимость составляет 0,065 USD за 1 ГБ данных, обрабатываемых брандмауэром при использовании шлюза NAT, плюс 0,395 USD за каждый час работы брандмауэра. В данном примере плата за передачу данных не взимается. Однако, если вы отправляете тот же файл в местоположение сети Интернет, находящееся за пределами AWS, будут применяться тарифы EC2 на передачу данных, так как это данные, пересылаемые из Amazon EC2 в Интернет.

Примечание.Чтобы не платить за обработку данных шлюзом NAT, можно настроить адрес VPC типа «шлюз» и направить входящий/исходящий трафик S3 через адрес VPC, а не через шлюз NAT. При использовании адресов VPC типа «шлюз» не взимается плата за обработку данных или почасовой тариф. Подробнее о том, как использовать адреса VPC, см. в документации по адресам VPC.

Пример 2. Стоимость сетевого брандмауэра со шлюзом NAT

В этом примере предположим, что вы создали 2 сетевых брандмауэра в 2 зонах доступности в регионе Восток США (Северная Вирджиния). Брандмауэр обрабатывает в общей сложности 5000 ГБ исходящего трафика в месяц. Вы подключаетесь к Интернету из частной подсети и принимаете решение использовать 2 шлюза NAT в каждой зоне доступности. 

Общий объем использования Сетевого брандмауэра AWS составляет

  • 1440 часов (720 часов в месяц* 2 адреса сетевого брандмауэра)
  • 5000 ГБ обработанного исходящего трафика

Общая сумма ежемесячных платежей составит 893,80 USD.

Поскольку каждый брандмауэр развертывается в отдельной зоне доступности для обеспечения высокой доступности, плата за использование разных зон доступности не взимается. 

  • Общая почасовая стоимость работы адресов составит 568,80 USD = (0,395 USD * 2 зоны доступности * 720 часов в месяц)
  • Общая стоимость обработки данных составит 325 USD = (0,065 USD/ГБ * 5000 ГБ обработанных данных). 
  • В этом же месяце пользователь получит 1440 часов шлюза NAT и 5000 ГБ данных, обработанных шлюзом NAT, без дополнительной оплаты.

Пример 3. Стоимость сетевого брандмауэра с расширенной проверкой

В этом примере предположим, что вы создали сетевой брандмауэр в Европе (Ирландия), включили расширенную проверку, активировав проверку TLS в своей политике брандмауэра, и получаете 5000 ГБ трафика в месяц. Плата взимается следующим образом.

  • Почасовой тариф адреса сетевого брандмауэра: 0,395 USD за каждый час работы адреса брандмауэра в Европе (Ирландия).
  • Плата за обработку данных сетевого брандмауэра: 0,065 USD за 1 ГБ данных, обработанных брандмауэром в Европе (Ирландия).

Общая сумма ежемесячных платежей составит 961,48 USD.

  • Общая стоимость адреса составит 636,48 USD = (0,395 USD * 1 зона доступности * 720 часов в месяц) + (0,489 USD * 1 зона доступности * 720 часов в месяц). 
  • Общая стоимость обработки данных составит 325 USD = (0,065 USD/ГБ * 5000 ГБ обработанных данных). 

Пример 4. Стоимость сетевого брандмауэра с расширенной проверкой и шлюзом NAT

В этом примере предположим, что вы создали сетевой брандмауэр и шлюз NAT в Азиатско-Тихоокеанском регионе (Сидней). Брандмауэр обрабатывает в общей сложности 5000 ГБ трафика в месяц. 2500 ГБ трафика обрабатывается с помощью функции расширенной проверки. Шлюз NAT обрабатывает в общей сложности 5000 ГБ трафика в месяц. Плата взимается следующим образом.

  • Почасовой тариф адреса сетевого брандмауэра: 0,395 USD за каждый час работы адреса брандмауэра в Азиатско-Тихоокеанском регионе (Сидней).
  • Почасовая плата за шлюз NAT: 0,059 USD в час в Азиатско-Тихоокеанском регионе (Сидней). Если шлюз NAT находится в том же регионе и настроен по тому же сетевому пути, что и адрес сетевого брандмауэра, почасовая плата за использование шлюза NAT со стандартным адресом сетевого брандмауэра не взимается. 
  • Плата за обработку данных сетевого брандмауэра: 0,065 USD за 1 ГБ данных, обработанных брандмауэром в Азиатско-Тихоокеанском регионе (Сидней).
  • Плата за обработку данных шлюза NAT: 0,059 USD за 1 ГБ данных, обработанных шлюзом NAT в Азиатско-Тихоокеанском регионе (Сидней). Если шлюз NAT находится в том же регионе и настроен по тому же сетевому пути, что и адрес сетевого брандмауэра, плата за обработку данных шлюза NAT объемом до 5000 ГБ трафика не взимается (что соответствует стандартному использованию обработки трафика сетевого брандмауэра). 
  • Почасовой тариф адреса сетевого брандмауэра с расширенной проверкой: 0,711 USD за каждый час работы адреса брандмауэра в Азиатско-Тихоокеанском регионе (Сидней).

Общая сумма ежемесячных платежей составит 1121,32 USD.

  • Стоимость сетевого брандмауэра
    • Стандартные часы работы адресов брандмауэра: 284,40 USD = (0,395 USD * 720 часов в месяц)
    • Стандартная обработка трафика брандмауэра: 325,00 USD = (0,065 USD/ГБ * 5000 обработанных ГБ) 
    • Часы работы адреса с расширенной проверкой: 511,92 USD = (0,711 USD * 720 часов в месяц) 
    • Общая стоимость сетевого брандмауэра: (284,40 USD + 325,00 USD + 511,92 USD) = 1121,32 USD в месяц
  • Плата за шлюз NAT
    • Время работы шлюза NAT: 42,48 USD = (0,059 USD * 720 часов в месяц)
    • Обработка трафика шлюза NAT: 295 USD = (0,059 USD * 5000 обработанных ГБ)
    • Общая скидка на пакет: (42,48 USD + 295 USD) = 337,48 USD
    • Общая стоимость шлюза NAT: 0 USD

Пример 5. Сетевой брандмауэр с дополнительными адресами

В этом примере предположим, что вы создали сетевой брандмауэр в регионе Восток США (Северная Вирджиния) и связали 10 дополнительных адресов VPC с брандмауэром первичной инспекционной сети в той же зоне доступности. Кроме того, брандмауэр обрабатывает в общей сложности 5000 ГБ трафика в месяц. Плата взимается следующим образом.

  • Почасовая плата за использование адресов сетевого брандмауэра: 0,395 USD за каждый час предоставления основного адреса брандмауэра в регионе Восток США (Северная Вирджиния) в каждой зоне.
  • Почасовая плата за дополнительные адреса сетевого брандмауэра: 0,158 USD за дополнительный адрес в час. Дополнительные адреса брандмауэра предоставляются в регионе Восток США (Северная Вирджиния) в каждой зоне.
  • Плата за обработку данных сетевого брандмауэра: 0,065 USD за 1 ГБ данных, обработанных брандмауэром в регионе Восток США (Северная Вирджиния) в каждой зоне. Дополнительная плата за обработку данных для других адресов, связанных с брандмауэром, не взимается.

Общая сумма ежемесячных платежей составит 1747 USD.

  • Общая плата за адреса составит 1422 USD = (0,395 USD *1 основной адрес * 1 зона доступности * 720 часов в месяц) + (0,158 USD * 10 дополнительных адресов * 1 зона доступности * 720 часов в месяц).
  • Общая стоимость обработки данных составит 325 USD = (0,065 USD/ГБ * 5000 ГБ обработанных данных).

Пример 6. Стоимость сетевого брандмауэра с дополнительными адресами и шлюзом NAT

В этом примере предположим, что вы создали сетевой брандмауэр с 10 дополнительными адресами VPC и шлюзом NAT в регионе Восток США (Северная Вирджиния) и в зоне доступности. Кроме того, брандмауэр обрабатывает в общей сложности 5000 ГБ трафика в месяц. Ваш шлюз NAT обрабатывает в общей сложности 6000 ГБ трафика в месяц. Плата взимается следующим образом.

  • Почасовая плата за использование адресов сетевого брандмауэра: 0,395 USD за каждый час предоставления основного адреса брандмауэра в регионе Восток США (Северная Вирджиния) в каждой зоне.
  • Почасовая плата за дополнительные адреса сетевого брандмауэра: 0,158 USD за дополнительный адрес в час. Дополнительные адреса брандмауэра предоставляются в регионе Восток США (Северная Вирджиния) в каждой зоне.
  • Плата за обработку данных сетевого брандмауэра: 0,065 USD за 1 ГБ данных, обработанных брандмауэром в регионе Восток США (Северная Вирджиния) в каждой зоне. Дополнительная плата за обработку данных для других адресов, связанных с брандмауэром, не взимается.
  • Почасовая плата за шлюз NAT: 0,045 USD в час в регионе Восток США (Северная Вирджиния). Плата не взимается за каждый час, в течение которого ваши основные или дополнительные адреса брандмауэра развернуты в одном регионе в зависимости от почасового использования адресов сетевого брандмауэра (основных или дополнительных).
  • Плата за обработку данных шлюза NAT: 0,045 USD за 1 ГБ данных, обработанных шлюзом NAT в регионе Восток США (Северная Вирджиния). Плата за гигабайт обработки шлюзом NAT не взимается за каждый гигабайт трафика, обрабатываемого брандмауэром (на основном или дополнительном адресе) в том же регионе, на основе обработки трафика сетевого брандмауэра, вплоть до 5000 ГБ.

Общая сумма ежемесячных платежей составит 1792 USD.

  • Общая плата за адреса брандмауэра составит 1422 USD = (0,395 USD *1 основной адрес * 1 зона доступности * 720 часов в месяц) + (0,158 USD * 10 дополнительных адресов * 1 зона доступности * 720 часов в месяц).
  • Общая стоимость обработки данных брандмауэром составит 325 USD = (0,065 USD/ГБ * 5000 ГБ обработанных данных).
  • Общая почасовая плата за шлюз NAT составит 0 USD. Экономия в размере 32,40 USD = (0,045 USD * 720 часов в месяц) при использовании основного адреса.
  • Общая стоимость обработки данных шлюзом NAT составит 45 USD = (0,045 USD/ГБ * 1000 ГБ обработанных данных). Экономия в размере 225 USD = (0,045 USD * 5000 обработанных ГБ) при обработке трафика брандмауэра.

Пример 7. Стоимость сетевого брандмауэра с расширенной защитой от угроз

В этом примере предположим, что вы создали сетевой брандмауэр в регионе Запад США (Орегон) и включили активную защиту от угроз, используя группы правил, управляемые активной защитой от угроз, в своей политике брандмауэра и получаете 5000 ГБ трафика в месяц. Плата взимается следующим образом.

  • Почасовой тариф адреса сетевого брандмауэра: 0,395 USD за каждый час работы адреса брандмауэра в регионе Запад США (Орегон).
  • Плата за обработку данных сетевого брандмауэра: 0,065 USD за 1 ГБ данных, обработанных брандмауэром в регионе Запад США (Орегон).
  • Плата за обработку данных сетевого брандмауэра с расширенной защитой от угроз: 0,005 USD за 1 ГБ данных, обработанных брандмауэром в регионе Запад США (Орегон).

Общая сумма ежемесячных платежей составит 634,40 USD.

  • Общая стоимость адреса составит 284,40 USD = (0,395 USD * 1 зона доступности * 720 часов в месяц)
  • Общая стоимость обработки данных составит 325 USD = (0,065 USD/ГБ * 5000 ГБ обработанных данных)
  • Общая стоимость обработки данных составит 25 USD = (0,005 USD/ГБ * 5000 ГБ обработанных данных)

Пример 8. Цена на сетевой брандмауэр с расширенной проверкой и функцию расширенной защиты от угроз

В этом примере предположим, что вы создали сетевой брандмауэр в регионе Европа (Ирландия), включили активную защиту от угроз, используя группы правил, управляемые активной защитой от угроз, в своей политике брандмауэра, включили расширенную проверку, активировав проверку TLS в своей политике брандмауэра, и получаете 5000 ГБ трафика в месяц. Плата взимается следующим образом.

  • Почасовой тариф адреса сетевого брандмауэра: 0,395 USD за каждый час работы адреса брандмауэра в Европе (Ирландия).
  • Почасовой тариф адреса сетевого брандмауэра с расширенной проверкой: 0,489 USD за каждый час работы адреса брандмауэра в Европе (Ирландия).
  • Плата за обработку данных сетевого брандмауэра с расширенной защитой от угроз: 0,005 USD за 1 ГБ данных, обработанных брандмауэром в Европе (Ирландия).

Общая сумма ежемесячных платежей составит 986,48 USD.

  • Общая стоимость адреса составит 636,48 USD = (0,395 USD * 1 зона доступности * 720 часов в месяц) + (0,489 USD * 1 зона доступности * 720 часов в месяц). 
  • Общая стоимость обработки данных составит 350 USD = (0,065 USD/ГБ * 5000 ГБ обработанных данных) + (0,005 USD * 5000 ГБ обработанных данных).