AWS 网络防火墙和 CloudWatch 日志都是 AWS 提供的云服务，用于网络安全监控和日志记录。两者都有其各自的优点和用途，下面将给出它们的一些比较和示例代码。

1. 功能比较：

• AWS 网络防火墙：
  • 集成了 IDS/IPS 引擎，可以实时检测和阻止网络攻击。
  • 提供了 VPC 流量过滤规则，可以自定义规则来保护应用程序和数据。
  • 可以统计流量和事件，并将结果发送到 S3 存储桶、CloudWatch 日志或 Kinesis 数据流。
• CloudWatch 日志：
  • 可以收集和存储来自 AWS 资源和自定义应用程序的日志。
  • 可以创建仪表板，对日志数据进行统计和可视化分析。
  • 可以使用 CloudWatch Logs Insights 进行高级查询和分析。

2. 示例代码：

• AWS 网络防火墙：

import boto3

# 创建 AWS 网络防火墙规则集
client = boto3.client('network-firewall')
response = client.create_rule_group(
    RuleGroupName='web-server-rules',
    Type='STATELESS',
    Capacity=100,
    Description='规则集用于保护 Web 服务器'
)

# 添加规则到规则集中
response = client.update_rule_group(
    RuleGroupName='web-server-rules',
    Updates=[
        {
            'Action': 'INSERT',
            'RuleDefinition': {
                'MatchAttributes': {
                    'Sources': [
                        {
                            'AddressDefinition': '10.0.0.0/8'
                        },
                    ],
                    'Destinations': [
                        {
                            'AddressDefinition': ['$PRIVATE_IP']
                        }
                    ]
                }
            }
        }
    ]
)

#