So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Berichterstattung über Netzwerk-ACL-Konformität

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs

In diesem Abschnitt wird beschrieben, wie Firewall Manager sein verwaltetes Netzwerk behebt, ACLs wenn es die Richtlinie nicht einhält. Firewall Manager behebt nur verwaltete Netzwerke ACLs, wenn das FMManaged Tag auf gesetzt ist. true Informationen zu Netzwerken ACLs , die nicht von Firewall Manager verwaltet werden, finden Sie unterAnfängliche Netzwerk-ACL-Verwaltung.

Bei der Korrektur werden die relativen Positionen der ersten, benutzerdefinierten und letzten Regel wiederhergestellt und die Reihenfolge der ersten und letzten Regel wiederhergestellt. Während der Behebung verschiebt Firewall Manager Regeln nicht unbedingt auf die Regelnummern, die er bei der Netzwerk-ACL-Initialisierung verwendet. Die anfänglichen Zahleneinstellungen und Beschreibungen dieser Regelkategorien finden Sie unter. Anfängliche Netzwerk-ACL-Verwaltung

Um konforme Regeln und die Reihenfolge der Regeln festzulegen, muss Firewall Manager möglicherweise Regeln innerhalb der Netzwerk-ACL verschieben. Der Firewall Manager behält so weit wie möglich den Schutz der Netzwerk-ACL bei, indem er dabei die bestehende konforme Regelreihenfolge beibehält. Beispielsweise kann es Regeln vorübergehend an neuen Speicherorten duplizieren und dann eine geordnete Entfernung der ursprünglichen Regeln durchführen, wobei die relativen Positionen während des Vorgangs beibehalten werden.

Dieser Ansatz schützt Ihre Einstellungen, erfordert aber auch Speicherplatz in der Netzwerk-ACL für die vorläufigen Regeln. Wenn Firewall Manager das Limit für Regeln in einer Netzwerk-ACL erreicht, wird die Wiederherstellung gestoppt. In diesem Fall ist die Netzwerk-ACL weiterhin nicht richtlinientreu und Firewall Manager meldet den Grund dafür.

Wenn ein Konto einer Netzwerk-ACL, die von Firewall Manager verwaltet wird, benutzerdefinierte Regeln hinzufügt und diese Regeln die Firewall Manager-Wiederherstellung beeinträchtigen, stoppt Firewall Manager alle Wartungsaktivitäten auf der Netzwerk-ACL und meldet den Konflikt.

Erzwungene Behebung

Wenn Sie die auto Korrektur für die Richtlinie wählen, geben Sie auch an, ob die Korrektur für die ersten oder letzten Regeln erzwungen werden soll.

Wenn Firewall Manager bei der Verarbeitung des Datenverkehrs einen Konflikt zwischen einer benutzerdefinierten Regel und einer Richtlinienregel feststellt, bezieht er sich auf die entsprechende Einstellung für die erzwungene Wiederherstellung. Wenn die erzwungene Wiederherstellung aktiviert ist, wendet Firewall Manager die Wiederherstellung trotz des Konflikts an. Wenn diese Option nicht aktiviert ist, stoppt Firewall Manager die Wiederherstellung. In beiden Fällen meldet Firewall Manager den Regelkonflikt und bietet Behebungsoptionen an.

Anforderungen und Einschränkungen für die Anzahl der Regeln

Während der Behebung dupliziert Firewall Manager möglicherweise vorübergehend Regeln, um sie zu verschieben, ohne den von ihnen bereitgestellten Schutz zu ändern.

Für eingehende oder ausgehende Regeln ist die größte Anzahl von Regeln, die Firewall Manager möglicherweise benötigt, um die Wiederherstellung durchzuführen, die folgende: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Netzwerk ACLs - und Netzwerk-ACL-Richtlinien sind an veränderbare Regelgrenzwerte gebunden. Wenn Firewall Manager bei seinen Behebungsbemühungen auf ein Limit stößt, beendet er den Versuch, eine Korrektur durchzuführen, und meldet die Nichtkonformität.

Um Platz für Firewall Manager für die Durchführung seiner Behebungsaktivitäten zu schaffen, können Sie eine Erhöhung des Limits beantragen. Alternativ können Sie die Konfiguration in der Richtlinie oder der Netzwerk-ACL ändern, um die Anzahl der verwendeten Regeln zu reduzieren.

Informationen zu den Netzwerk-ACL-Limits finden Sie unter Amazon VPC-Kontingente ACLs im Netzwerk im Amazon VPC-Benutzerhandbuch.

Wenn die Behebung fehlschlägt

Wenn Firewall Manager während der Aktualisierung einer Netzwerk-ACL aus irgendeinem Grund beendet werden muss, macht er die Änderungen nicht rückgängig, sondern belässt die Netzwerk-ACL in einem Zwischenzustand. Wenn Sie doppelte Regeln in einer Netzwerk-ACL sehen, für die das FMManaged Tag auf gesetzt isttrue, ist Firewall Manager wahrscheinlich gerade dabei, diese zu korrigieren. Änderungen können für einen bestimmten Zeitraum teilweise abgeschlossen sein, aber aufgrund der Vorgehensweise, die Firewall Manager bei der Behebung verfolgt, wird dadurch weder der Datenverkehr unterbrochen noch der Schutz für zugehörige Subnetze beeinträchtigt.

Wenn Firewall Manager Netzwerke, die nicht konform sind ACLs , nicht vollständig behebt, meldet er die Nichtkonformität für die zugehörigen Subnetze und schlägt mögliche Behebungsoptionen vor.

Ein erneuter Versuch nach der Behebung schlägt fehl

In den meisten Fällen, wenn Firewall Manager die Wartungsänderungen an einer Netzwerk-ACL nicht abschließen kann, wird er die Änderung irgendwann erneut versuchen.

Eine Ausnahme ist, wenn die Wiederherstellung das Limit für die Anzahl der Netzwerk-ACL-Regeln oder das VPC-Netzwerk-ACL-Zähllimit erreicht. Firewall Manager kann keine Behebungsaktivitäten durchführen, bei denen AWS Ressourcen ihre Limiteinstellungen überschreiten. In diesen Fällen müssen Sie die Anzahl reduzieren oder die Grenzwerte erhöhen, um fortzufahren. Informationen zu den Beschränkungen finden Sie unter Amazon VPC-Kontingente im Netzwerk ACLs im Amazon VPC-Benutzerhandbuch.

Firewall Manager Manager-Netzwerk-ACL-Konformitätsberichte

Firewall Manager überwacht und meldet die Konformität für alle Netzwerke ACLs , die an Subnetze im Geltungsbereich angeschlossen sind.

Im Allgemeinen tritt eine Nichteinhaltung bei Situationen auf, z. B. bei einer falschen Reihenfolge der Regeln oder bei einem Konflikt zwischen Richtlinienregeln und benutzerdefinierten Regeln bei der Verarbeitung des Datenverkehrs. Die Berichterstattung über Verstöße umfasst Verstöße gegen die Einhaltung von Vorschriften und Optionen zur Behebung von Vorschriften.

Firewall Manager meldet Compliance-Verstöße für eine Netzwerk-ACL-Richtlinie genauso wie für andere Richtlinientypen. Informationen zur Compliance-Berichterstattung finden Sie unterCompliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen.

Verstöße bei Richtlinienaktualisierungen

Nachdem Sie eine Netzwerk-ACL-Richtlinie geändert haben, markiert Firewall Manager diese Netzwerke als ACLs nicht konform ACLs, bis Firewall Manager das Netzwerk aktualisiert, das in den Geltungsbereich der Richtlinie fällt. Firewall Manager tut dies auch dann, wenn das Netzwerk streng genommen ACLs möglicherweise die Vorschriften einhält.

Wenn Sie beispielsweise Regeln aus der Richtlinienspezifikation entfernen, obwohl das Netzwerk im Geltungsbereich ACLs noch über die zusätzlichen Regeln verfügt, entsprechen deren Regeldefinitionen möglicherweise immer noch der Richtlinie. Da die zusätzlichen Regeln jedoch Teil der Regeln sind, die Firewall Manager verwaltet, betrachtet Firewall Manager sie als Verstöße gegen die aktuellen Richtlinieneinstellungen. Dies unterscheidet sich davon, wie Firewall Manager benutzerdefinierte Regeln anzeigt, die Sie dem von Firewall Manager verwalteten Netzwerk hinzufügen ACLs.