Verwenden der Richtlinien der VPC Amazon-Netzwerkzugriffskontrollliste (ACL) mit Firewall Manager - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Bewährte MethodenEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Richtlinien der VPC Amazon-Netzwerkzugriffskontrollliste (ACL) mit Firewall Manager

In diesem Abschnitt wird beschrieben, wie AWS Firewall Manager ACL Netzwerkrichtlinien funktionieren, und es werden Anleitungen zu deren Verwendung bereitgestellt. Anleitungen zum Erstellen einer ACL Netzwerkrichtlinie mithilfe der Konsole finden Sie unterEine ACL Netzwerkrichtlinie erstellen.

Informationen zu den VPC Netzwerk-Zugriffskontrolllisten von Amazon (ACLs) finden Sie unter Steuern des Datenverkehrs zu Subnetzen über das Netzwerk ACLs im VPCAmazon-Benutzerhandbuch.

Sie können die ACL Netzwerkrichtlinien von Firewall Manager verwenden, um die Netzwerkzugriffskontrolllisten (VPC) von Amazon Virtual Private Cloud (AmazonACLs) für Ihr Unternehmen in zu verwalten AWS Organizations. Sie definieren die Netzwerkregeleinstellungen ACL der Richtlinie sowie die Konten und Subnetze, in denen die Einstellungen durchgesetzt werden sollen. Firewall Manager wendet Ihre Richtlinieneinstellungen kontinuierlich auf Konten und Subnetze an, sobald diese in Ihrer Organisation hinzugefügt oder aktualisiert werden. Informationen zum Geltungsbereich der Richtlinie Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden und AWS Organizations im AWS Organizations Benutzerhandbuch finden Sie unter.

Wenn Sie eine Firewall Manager ACL Manager-Netzwerkrichtlinie definieren, geben Sie zusätzlich zu den standardmäßigen Firewall Manager Manager-Richtlinieneinstellungen wie Name und Geltungsbereich Folgendes an:

  • Erste und letzte Regeln für den Umgang mit eingehendem und ausgehendem Datenverkehr. Firewall Manager erzwingt das Vorhandensein und die Reihenfolge der Dateien im NetzwerkACLs, die in den Geltungsbereich der Richtlinie fallen, oder meldet Verstöße. Ihre individuellen Konten können benutzerdefinierte Regeln erstellen, die zwischen den ersten und letzten Regeln der Richtlinie ausgeführt werden.

  • Gibt an, ob eine Behebung erzwungen werden soll, wenn die Behebung zu Konflikten bei der Verkehrssteuerung zwischen den Regeln im Netzwerk führen würde. ACL Dies gilt nur, wenn die Behebung für die Richtlinie aktiviert ist.

Bewährte Methoden für die Verwendung von Firewall Manager ACL Manager-Netzwerkrichtlinien

In diesem Abschnitt werden Empfehlungen für die Arbeit mit Firewall Manager ACL Manager-Netzwerkrichtlinien und verwalteten Netzwerken aufgeführtACLs.

Anhand des FMManaged Tags können Sie Netzwerke identifizierenACLs, die von Firewall Manager verwaltet werden.

Für das NetzwerkACLs, das Firewall Manager verwaltet, ist das FMManaged Tag auf gesetzttrue. Verwenden Sie dieses Tag, um Ihr eigenes benutzerdefiniertes Netzwerk ACLs von denen zu unterscheiden, die Sie über Firewall Manager verwalten.

Ändern Sie nicht den Wert des FMManaged Tags in einem Netzwerk ACL

Firewall Manager verwendet dieses Tag, um seinen Verwaltungsstatus für ein Netzwerk festzulegen und zu bestimmenACL.

Ändern Sie nicht die Zuordnungen für Subnetze, deren Netzwerk von Firewall Manager verwaltet wird ACLs

Ändern Sie die Zuordnungen zwischen Ihren Subnetzen und NetzwerkenACLs, die von Firewall Manager verwaltet werden, nicht manuell. Dadurch kann die Fähigkeit von Firewall Manager, den Schutz für diese Subnetze zu verwalten, deaktiviert werden. Sie können Netzwerke identifizierenACLs, die von Firewall Manager verwaltet werden, indem Sie nach den FMManaged Tag-Einstellungen von suchentrue.

Um ein Subnetz aus der Firewall Manager Manager-Richtlinienverwaltung zu entfernen, verwenden Sie die Einstellungen für den Geltungsbereich der Firewall Manager Manager-Richtlinie, um das Subnetz auszuschließen. Sie können das Subnetz beispielsweise taggen und dieses Tag dann aus dem Geltungsbereich der Richtlinie ausschließen. Weitere Informationen finden Sie unter Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden.

Wenn Sie ein verwaltetes Netzwerk aktualisierenACL, ändern Sie nicht die Regeln, die von Firewall Manager verwaltet werden.

Halten Sie in einem NetzwerkACL, das von Firewall Manager verwaltet wird, Ihre benutzerdefinierten Regeln von den Richtlinienregeln getrennt, indem Sie das unter beschriebene Nummerierungsschema einhalten. Verwenden von ACL Netzwerkregeln und Tagging in Firewall Manager Fügen Sie nur Regeln mit Zahlen zwischen 5.000 und 32.000 hinzu oder ändern Sie sie.

Vermeiden Sie es, zu viele Regeln für Ihre Kontolimits hinzuzufügen

Während der Wiederherstellung eines Netzwerks ACL erhöht Firewall Manager die Anzahl der Netzwerkregeln ACL normalerweise vorübergehend. Um Verstöße zu vermeiden, sollten Sie sicherstellen, dass genügend Platz für die Regeln vorhanden ist, die Sie verwenden. Weitere Informationen finden Sie unter So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs.

Beginnen Sie mit deaktivierter automatischer Korrektur

Beginnen Sie mit deaktivierter automatischer Korrektur, und überprüfen Sie dann die Richtliniendetails, um festzustellen, welche Auswirkungen die automatische Korrektur haben würde. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie, um die automatische Korrektur zu aktivieren.

Vorbehalte gegen ACL Netzwerkrichtlinien von Firewall Manager

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für die Verwendung von Firewall Manager ACL Manager-Netzwerkrichtlinien aufgeführt.

  • Langsamere Aktualisierungszeiten als bei anderen Richtlinien — Firewall Manager wendet ACL Netzwerkrichtlinien und Richtlinienänderungen im Allgemeinen langsamer an als bei anderen Firewall Manager Manager-Richtlinien, was auf Einschränkungen bei der Geschwindigkeit zurückzuführen ist, mit der das EC2 Amazon-Netzwerk ACL APIs Anfragen verarbeiten kann. Möglicherweise stellen Sie fest, dass Richtlinienänderungen länger dauern als ähnliche Änderungen mit anderen Firewall Manager Manager-Richtlinien, insbesondere wenn Sie eine Richtlinie zum ersten Mal hinzufügen.

  • Für den anfänglichen Subnetzschutz bevorzugt Firewall Manager ältere Richtlinien. Dies gilt nur für Subnetze, die noch nicht durch eine Firewall Manager ACL Manager-Netzwerkrichtlinie geschützt sind. Wenn ein Subnetz gleichzeitig in den Geltungsbereich mehrerer ACL Netzwerkrichtlinien fällt, verwendet Firewall Manager die älteste Richtlinie, um das Subnetz zu schützen.

  • Gründe für die Einstellung des Schutzes eines Subnetzes durch eine Richtlinie — Eine Richtlinie, die das Netzwerk ACL für ein Subnetz verwaltet, behält die Verwaltung bei, bis einer der folgenden Fälle eintritt:

    • Das Subnetz fällt nicht mehr in den Geltungsbereich der Richtlinie.

    • Die Richtlinie wird gelöscht.

    • Sie ändern manuell die Zuordnung des Subnetzes zu einem NetzwerkACL, das durch eine andere Firewall Manager Manager-Richtlinie verwaltet wird und für das das Subnetz gilt.

Themen