So verwaltet Firewall Manager Ihre Firewall-Subnetze - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So verwaltet Firewall Manager Ihre Firewall-Subnetze

In diesem Abschnitt wird erklärt, wie Firewall Manager Ihre Firewall-Subnetze verwaltet.

Firewall-Subnetze sind die VPC Subnetze, die Firewall Manager für die Firewall-Endpunkte erstellt, die Ihren Netzwerkverkehr filtern. Jeder Firewall-Endpunkt muss in einem dedizierten Subnetz bereitgestellt werden. VPC Firewall Manager erstellt in jedem, das innerhalb des Geltungsbereichs der Richtlinie liegtVPC, mindestens ein Firewall-Subnetz.

Für Richtlinien, die das verteilte Bereitstellungsmodell mit automatischer Endpunktkonfiguration verwenden, erstellt Firewall Manager nur Firewall-Subnetze in Availability Zones, die ein Subnetz mit einer Internet-Gateway-Route oder ein Subnetz mit einer Route zu den Firewall-Endpunkten haben, die Firewall Manager für ihre Richtlinie erstellt hat. Weitere Informationen finden Sie unter VPCsund Subnetze im VPCAmazon-Benutzerhandbuch.

Für Richtlinien, die entweder das verteilte oder das zentralisierte Modell verwenden, bei dem Sie angeben, in welchen Availability Zones Firewall Manager die Firewall-Endpoints erstellt, erstellt Firewall Manager einen Endpunkt in diesen spezifischen Availability Zones, unabhängig davon, ob sich andere Ressourcen in der Availability Zone befinden.

Wenn Sie zum ersten Mal eine Netzwerk-Firewall-Richtlinie definieren, geben Sie an, wie Firewall Manager die Firewall-Subnetze in den einzelnen Subnetzen verwaltetVPCs, die in den Geltungsbereich fallen. Sie können diese Auswahl später nicht mehr ändern.

Für Richtlinien, die das verteilte Bereitstellungsmodell mit automatischer Endpunktkonfiguration verwenden, können Sie zwischen den folgenden Optionen wählen:

  • Stellen Sie ein Firewall-Subnetz für jede Availability Zone bereit, die über öffentliche Subnetze verfügt. Dies ist das Standardverhalten. Dadurch wird eine hohe Verfügbarkeit Ihrer Schutzmaßnahmen zur Filterung des Datenverkehrs gewährleistet.

  • Stellen Sie ein einzelnes Firewall-Subnetz in einer Availability Zone bereit. Mit dieser Auswahl identifiziert Firewall Manager eine Zone in der Zone mit den VPC meisten öffentlichen Subnetzen und erstellt dort das Firewall-Subnetz. Der einzelne Firewall-Endpunkt filtert den gesamten Netzwerkverkehr für. VPC Dies kann die Firewallkosten senken, ist aber nicht hochverfügbar und erfordert, dass der Datenverkehr aus anderen Zonen die Zonengrenzen überschreitet, um gefiltert zu werden.

Für Richtlinien, die ein verteiltes Bereitstellungsmodell mit benutzerdefinierter Endpunktkonfiguration oder das zentralisierte Bereitstellungsmodell verwenden, erstellt Firewall Manager die Subnetze in den angegebenen Availability Zones, die innerhalb des Richtlinienbereichs liegen.

Sie können VPC CIDR Blöcke angeben, die Firewall Manager für die Firewall-Subnetze verwenden kann, oder Sie können die Auswahl der Firewall-Endpunktadressen dem Firewall Manager überlassen.

  • Wenn Sie keine CIDR Blöcke angeben, fragt Firewall Manager Sie VPCs nach verfügbaren IP-Adressen ab, die Sie verwenden können.

  • Wenn Sie eine Liste von CIDR Blöcken angeben, sucht Firewall Manager nur in den CIDR Blöcken, die Sie angeben, nach neuen Subnetzen. Sie müssen /28-Blöcke CIDR verwenden. Für jedes Firewall-Subnetz, das Firewall Manager erstellt, durchsucht er Ihre CIDR Sperrliste und verwendet das erste Subnetz, das für die Availability Zone gilt VPC und über verfügbare Adressen verfügt. Wenn Firewall Manager keinen freien Speicherplatz in der finden kann VPC (mit oder ohne Einschränkung), erstellt der Dienst keine Firewall in derVPC.

Wenn Firewall Manager ein erforderliches Firewall-Subnetz in einer Availability Zone nicht erstellen kann, markiert er das Subnetz als nicht richtlinienkonform. Solange sich die Zone in diesem Zustand befindet, muss der Datenverkehr für die Zone die Zonengrenzen überschreiten, damit er von einem Endpunkt in einer anderen Zone gefiltert werden kann. Dies ähnelt dem Szenario mit einem einzelnen Firewall-Subnetz.