Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So erstellt Firewall Manager Firewall-Endpunkte
In diesem Abschnitt wird erklärt, wie Firewall Manager Firewall-Endpunkte erstellt.
Der Firewall-Management-Typ in Ihrer Richtlinie bestimmt, wie Firewall Manager Firewalls erstellt. Ihre Richtlinie kann verteilte Firewalls oder eine zentralisierte Firewall einrichten oder Sie können vorhandene Firewalls importieren:
-
Verteilt — Beim verteilten Bereitstellungsmodell erstellt Firewall Manager Endpunkte für jedenVPC, der innerhalb des Richtlinienbereichs liegt. Sie können entweder den Endpunktstandort anpassen, indem Sie angeben, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen, oder Firewall Manager kann automatisch Endpunkte in den Availability Zones mit öffentlichen Subnetzen erstellen. Wenn Sie die Availability Zones manuell auswählen, haben Sie die Möglichkeit, die Anzahl der zulässigen Zonen CIDRs pro Availability Zone einzuschränken. Wenn Sie beschließen, dass Firewall Manager die Endpunkte automatisch erstellt, müssen Sie auch angeben, ob der Dienst einen einzelnen Endpunkt oder mehrere Firewall-Endpunkte innerhalb Ihres Geräts erstellt. VPCs
-
Für mehrere Firewall-Endpunkte stellt Firewall Manager einen Firewall-Endpunkt in jeder Availability Zone bereit, in der Sie ein Subnetz mit einem Internet-Gateway oder einer von Firewall Manager erstellten Firewall-Endpunktroute in der Routentabelle haben. Dies ist die Standardoption für eine Netzwerk-Firewall-Richtlinie.
-
Für einen einzelnen Firewall-Endpunkt stellt Firewall Manager einen Firewall-Endpunkt in einer einzelnen Availability Zone in jedem Subnetz bereit, das über eine Internet-Gateway-Route verfügt. Bei dieser Option muss der Verkehr in anderen Zonen Zonengrenzen überschreiten, um von der Firewall gefiltert zu werden.
Anmerkung
Für beide Optionen muss ein Subnetz vorhanden sein, das mit einer Routing-Tabelle verknüpft ist, die eine IPv4 /prefixlist-Route enthält. Firewall Manager sucht nicht nach anderen Ressourcen.
-
-
Zentralisiert — Beim zentralisierten Bereitstellungsmodell erstellt Firewall Manager im Rahmen einer Inspektion VPC einen oder mehrere Firewall-Endpunkte. Eine Inspektion VPC ist eine zentrale VPC Stelle, an der Firewall Manager Ihre Endgeräte startet. Wenn Sie das zentralisierte Bereitstellungsmodell verwenden, geben Sie auch an, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können die Inspektion nicht ändern, VPC nachdem Sie Ihre Richtlinie erstellt haben. Um eine andere Inspektion zu verwendenVPC, müssen Sie eine neue Richtlinie erstellen.
-
Vorhandene Firewalls importieren — Wenn Sie vorhandene Firewalls importieren, wählen Sie die Firewalls aus, die in Ihrer Richtlinie verwaltet werden sollen, indem Sie Ihrer Richtlinie eine oder mehrere Ressourcensätze hinzufügen. Ein Ressourcensatz ist eine Sammlung von Ressourcen, in diesem Fall bestehende Firewalls in der Network Firewall, die von einem Konto in Ihrer Organisation verwaltet werden. Bevor Sie Ressourcensätze in Ihrer Richtlinie verwenden, müssen Sie zunächst eine Ressourcengruppe erstellen. Informationen zu Firewall Manager Manager-Ressourcensätzen finden Sie unterGruppieren Sie Ihre Ressourcen in Firewall Manager.
Beachten Sie bei der Arbeit mit importierten Firewalls die folgenden Überlegungen:
-
Wenn eine importierte Firewall nicht mehr konform ist, versucht Firewall Manager, den Verstoß automatisch zu beheben, außer unter den folgenden Umständen:
Wenn es eine Diskrepanz zwischen den statusbehafteten oder statusfreien Standardaktionen des Firewall-Managers und der Netzwerk-Firewall-Richtlinie gibt.
Wenn eine Regelgruppe in der Firewall-Richtlinie einer importierten Firewall dieselbe Priorität hat wie eine Regelgruppe in der Firewall Manager Manager-Richtlinie.
Wenn eine importierte Firewall eine Firewall-Richtlinie verwendet, die mit einer Firewall verknüpft ist, die nicht Teil des Ressourcensatzes der Richtlinie ist. Dies kann passieren, weil eine Firewall genau eine Firewall-Richtlinie haben kann, eine einzelne Firewall-Richtlinie jedoch mehreren Firewalls zugeordnet werden kann.
Wenn einer bereits vorhandenen Regelgruppe, die zur Firewall-Richtlinie einer importierten Firewall gehört, die auch in der Firewall Manager Manager-Richtlinie angegeben ist, eine andere Priorität zugewiesen wird.
Wenn Sie die Ressourcensäuberung in der Richtlinie aktivieren, entfernt Firewall Manager die Regelgruppen, die in der FMS Importrichtlinie enthalten waren, aus den Firewalls im Bereich des Ressourcensatzes.
Firewalls, die von einem Firewall Manager Manager-Import verwaltet werden, der vorhandene Firewall-Managementtyp kann jeweils nur mit einer Richtlinie verwaltet werden. Wenn derselbe Ressourcensatz zu mehreren importierten Netzwerk-Firewall-Richtlinien hinzugefügt wird, werden die Firewalls in der Ressourcengruppe von der ersten Richtlinie verwaltet, zu der der Ressourcensatz hinzugefügt wurde, und von der zweiten Richtlinie ignoriert.
Firewall Manager streamt derzeit keine Konfigurationen von Ausnahmerichtlinien. Informationen zu Stream-Ausnahmerichtlinien finden Sie unter Stream-Ausnahmerichtlinie im AWS Network Firewall Entwicklerhandbuch.
-
Wenn Sie die Liste der Availability Zones für Richtlinien ändern, die verteiltes oder zentrales Firewall-Management verwenden, versucht Firewall Manager, alle Endpoints zu bereinigen, die in der Vergangenheit erstellt wurden, aber derzeit nicht im Geltungsbereich der Richtlinien liegen. Firewall Manager entfernt den Endpunkt nur, wenn es keine Routing-Tabellenrouten gibt, die auf den außerhalb des Gültigkeitsbereichs liegenden Endpunkt verweisen. Wenn Firewall Manager feststellt, dass er diese Endpunkte nicht löschen kann, markiert er das Firewall-Subnetz als nicht konform und versucht weiterhin, den Endpunkt zu entfernen, bis er sicher gelöscht werden kann.
