So verwaltet und überwacht Firewall Manager VPC Routing-Tabellen für Ihre Richtlinie - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So verwaltet und überwacht Firewall Manager VPC Routing-Tabellen für Ihre Richtlinie

In diesem Abschnitt wird erklärt, wie Firewall Manager Ihre VPC Routing-Tabellen verwaltet und überwacht.

Anmerkung

Die Verwaltung von Routing-Tabellen wird derzeit nicht für Richtlinien unterstützt, die das zentralisierte Bereitstellungsmodell verwenden.

Wenn Firewall Manager Ihre Firewall-Endpoints erstellt, erstellt er auch die VPC Routing-Tabellen für sie. Firewall Manager verwaltet Ihre VPC Routing-Tabellen jedoch nicht. Sie müssen Ihre VPC Routing-Tabellen so konfigurieren, dass der Netzwerkverkehr zu den Firewall-Endpunkten geleitet wird, die von Firewall Manager erstellt wurden. Ändern Sie mithilfe der Verbesserungen VPC von Amazon Ingress Routing Ihre Routing-Tabellen, um den Datenverkehr durch die neuen Firewall-Endpunkte zu leiten. Ihre Änderungen müssen die Firewall-Endpunkte zwischen den Subnetzen, die Sie schützen möchten, und externen Standorten einfügen. Das genaue Routing, das Sie durchführen müssen, hängt von Ihrer Architektur und ihren Komponenten ab.

Derzeit ermöglicht Firewall Manager die Überwachung Ihrer VPC Routing-Tabellenrouten für jeglichen Datenverkehr, der an das Internet-Gateway gerichtet ist und die Firewall umgeht. Firewall Manager unterstützt keine anderen Ziel-Gateways wie NAT Gateways.

Informationen zur Verwaltung von Routentabellen für Sie VPC finden Sie unter Verwaltung von Routentabellen für Sie VPC im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Informationen zur Verwaltung Ihrer Routing-Tabellen für die Network Firewall finden Sie unter Routentabellenkonfigurationen für AWS Network Firewall im AWS Network Firewall Entwicklerhandbuch.

Wenn Sie die Überwachung für eine Richtlinie aktivieren, überwacht Firewall Manager kontinuierlich die VPC Routenkonfigurationen und warnt Sie vor Datenverkehr, der die Firewall-Inspektion für diese VPC Richtlinie umgeht. Wenn ein Subnetz über eine Firewall-Endpunktroute verfügt, sucht Firewall Manager nach den folgenden Routen:

  • Routen zum Senden von Datenverkehr an den Netzwerkfirewall-Endpunkt.

  • Routen zur Weiterleitung des Datenverkehrs vom Netzwerkfirewall-Endpunkt zum Internet-Gateway.

  • Eingehende Routen vom Internet-Gateway zum Netzwerk-Firewall-Endpunkt.

  • Routen vom Firewall-Subnetz.

Wenn ein Subnetz über eine Netzwerkfirewall-Route verfügt, die Network Firewall und Ihre Internet-Gateway-Routentabelle jedoch asymmetrisches Routing enthält, meldet Firewall Manager das Subnetz als nicht konform. Firewall Manager erkennt auch Routen zum Internet-Gateway in der Firewall-Routentabelle, die Firewall Manager erstellt hat, sowie in der Routing-Tabelle für Ihr Subnetz und meldet sie als nicht konform. Zusätzliche Routen in der Subnetz-Routentabelle der Netzwerkfirewall und Ihrer Internet-Gateway-Routentabelle werden ebenfalls als nicht konform gemeldet. Je nach Art des Verstoßes schlägt Firewall Manager Korrekturmaßnahmen vor, um die Routenkonfiguration auf Konformität zu bringen. Firewall Manager bietet nicht in allen Fällen Vorschläge. Wenn Ihr Kundensubnetz beispielsweise über einen Firewall-Endpunkt verfügt, der außerhalb von Firewall Manager erstellt wurde, schlägt Firewall Manager keine Behebungsmaßnahmen vor.

Standardmäßig markiert Firewall Manager jeden Datenverkehr, der die Grenze der Availability Zone zur Überprüfung überschreitet, als nicht konform. Wenn Sie sich jedoch dafür entscheiden, automatisch einen einzelnen Endpunkt in Ihrem zu erstellenVPC, markiert Firewall Manager den Datenverkehr, der die Grenze der Availability Zone überschreitet, nicht als nicht konform.

Bei Richtlinien, die verteilte Bereitstellungsmodelle mit benutzerdefinierter Endpunktkonfiguration verwenden, können Sie wählen, ob der Datenverkehr, der die Availability Zone-Grenze von einer Availability Zone ohne Firewall-Endpunkt überschreitet, als konform oder nicht konform markiert wird.

Anmerkung

  • Firewall Manager schlägt keine Behebungsmaßnahmen für IPv4 Nicht-Routen vor, wie IPv6 z. B. Routen mit Präfixlisten.

  • Es kann bis zu 12 Stunden dauern, bis Anrufe erkannt werden, die über diesen DisassociateRouteTable API Anruf getätigt wurden.

  • Firewall Manager erstellt eine Netzwerk-Firewall-Routentabelle für ein Subnetz, das die Firewall-Endpunkte enthält. Firewall Manager geht davon aus, dass diese Routentabelle nur gültige Internet-Gateway- und VPC Standardrouten enthält. Alle zusätzlichen oder ungültigen Routen in dieser Routentabelle gelten als nicht konform.

Wenn Sie bei der Konfiguration Ihrer Firewall Manager-Richtlinie den Überwachungsmodus wählen, stellt Firewall Manager Informationen zu Ressourcenverletzungen und Problembehebungen zu Ihren Ressourcen bereit. Sie können diese vorgeschlagenen Behebungsmaßnahmen verwenden, um Routenprobleme in Ihren Routing-Tabellen zu beheben. Wenn Sie den Modus Aus wählen, überwacht Firewall Manager den Inhalt Ihrer Routing-Tabelle nicht für Sie. Mit dieser Option verwalten Sie Ihre VPC Routing-Tabellen selbst. Weitere Informationen zu diesen Ressourcenverletzungen finden Sie unterCompliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen.

Warnung

Wenn Sie bei der Erstellung Ihrer Richtlinie unter AWS Network Firewall Routenkonfiguration die Option Überwachen auswählen, können Sie die Option für diese Richtlinie nicht deaktivieren. Wenn Sie jedoch Aus wählen, können Sie es später aktivieren.