So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Berichterstattung ACL zur Netzwerkkonformität

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs

In diesem Abschnitt wird beschrieben, wie Firewall Manager sein verwaltetes Netzwerk behebt, ACLs wenn es die Richtlinie nicht einhält. Firewall Manager behebt nur verwaltete NetzwerkeACLs, wenn das FMManaged Tag auf gesetzt ist. true Informationen zu NetzwerkenACLs, die nicht von Firewall Manager verwaltet werden, finden Sie unterAnfängliche Netzwerkverwaltung ACL.

Bei der Korrektur werden die relativen Positionen der ersten, benutzerdefinierten und letzten Regel wiederhergestellt und die Reihenfolge der ersten und letzten Regel wiederhergestellt. Während der Behebung verschiebt Firewall Manager Regeln nicht unbedingt auf die Regelnummern, die er bei der ACL Netzwerkinitialisierung verwendet. Die anfänglichen Zahleneinstellungen und Beschreibungen dieser Regelkategorien finden Sie unter. Anfängliche Netzwerkverwaltung ACL

Um konforme Regeln und die Reihenfolge der Regeln festzulegen, muss Firewall Manager möglicherweise Regeln innerhalb des Netzwerks verschiebenACL. Der Firewall Manager gewährleistet so weit wie möglich den Schutz ACL des Netzwerks, indem er dabei die bestehende konforme Regelreihenfolge beibehält. Beispielsweise kann es Regeln vorübergehend an neuen Speicherorten duplizieren und dann eine geordnete Entfernung der ursprünglichen Regeln durchführen, wobei die relativen Positionen während des Vorgangs beibehalten werden.

Dieser Ansatz schützt Ihre Einstellungen, erfordert aber auch Speicherplatz im Netzwerk ACL für die vorläufigen Regeln. Wenn Firewall Manager das Limit für Regeln in einem Netzwerk erreichtACL, wird die Wiederherstellung gestoppt. In diesem Fall verstößt das Netzwerk ACL weiterhin gegen die Vorschriften und Firewall Manager meldet den Grund dafür.

Wenn ein Konto einem NetzwerkACL, das von Firewall Manager verwaltet wird, benutzerdefinierte Regeln hinzufügt und diese Regeln die Firewall Manager-Wiederherstellung beeinträchtigen, stoppt Firewall Manager alle Behebungsaktivitäten im Netzwerk ACL und meldet den Konflikt.

Erzwungene Problembehebung

Wenn Sie die auto Korrektur für die Richtlinie wählen, geben Sie auch an, ob die Korrektur für die ersten oder letzten Regeln erzwungen werden soll.

Wenn Firewall Manager bei der Verarbeitung des Datenverkehrs einen Konflikt zwischen einer benutzerdefinierten Regel und einer Richtlinienregel feststellt, bezieht er sich auf die entsprechende Einstellung für die erzwungene Wiederherstellung. Wenn die erzwungene Wiederherstellung aktiviert ist, wendet Firewall Manager die Wiederherstellung trotz des Konflikts an. Wenn diese Option nicht aktiviert ist, stoppt Firewall Manager die Wiederherstellung. In beiden Fällen meldet Firewall Manager den Regelkonflikt und bietet Behebungsoptionen an.

Anforderungen und Einschränkungen für die Anzahl der Regeln

Während der Behebung dupliziert Firewall Manager möglicherweise vorübergehend Regeln, um sie zu verschieben, ohne den von ihnen bereitgestellten Schutz zu ändern.

Sowohl für eingehende als auch für ausgehende Regeln ist die größte Anzahl von Regeln, die Firewall Manager möglicherweise benötigt, um die Wiederherstellung durchzuführen, die folgende: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Netzwerk ACLs - und ACL Netzwerkrichtlinien sind an veränderbare Regelgrenzwerte gebunden. Wenn Firewall Manager bei seinen Behebungsbemühungen auf ein Limit stößt, beendet er den Versuch, die Fehler zu beheben, und meldet die Nichtkonformität.

Um Platz für Firewall Manager für die Durchführung seiner Behebungsaktivitäten zu schaffen, können Sie eine Erhöhung des Limits beantragen. Alternativ können Sie die Konfiguration in der Richtlinie oder im Netzwerk ändern, ACL um die Anzahl der verwendeten Regeln zu reduzieren.

Informationen zu den ACL Netzwerkbeschränkungen finden Sie unter VPCAmazon-Netzwerkkontingente ACLs im VPCAmazon-Benutzerhandbuch.

Wenn die Behebung fehlschlägt

Wenn Firewall Manager während der Aktualisierung eines Netzwerks ACL aus irgendeinem Grund beendet werden muss, werden die Änderungen nicht rückgängig gemacht, sondern das Netzwerk wird ACL in einem Zwischenzustand belassen. Wenn Sie in einem NetzwerkACL, für das das FMManaged Tag auf gesetzt ist, doppelte Regeln sehentrue, ist Firewall Manager wahrscheinlich gerade dabei, diese zu korrigieren. Änderungen können für einen bestimmten Zeitraum teilweise abgeschlossen sein, aber aufgrund der Vorgehensweise, die Firewall Manager bei der Behebung verfolgt, wird dadurch weder der Datenverkehr unterbrochen noch der Schutz für zugehörige Subnetze beeinträchtigt.

Wenn Firewall Manager Netzwerke, die nicht konform sindACLs, nicht vollständig behebt, meldet er die Nichtkonformität für die zugehörigen Subnetze und schlägt mögliche Behebungsoptionen vor.

Ein erneuter Versuch nach der Behebung schlägt fehl

In den meisten Fällen, wenn Firewall Manager die Wartungsänderungen an einem Netzwerk nicht abschließen kannACL, wird er die Änderung irgendwann erneut versuchen.

Eine Ausnahme ist, wenn die Wiederherstellung das Limit für die Anzahl der Netzwerkregeln ACL oder das Limit für die VPC ACL Netzwerkanzahl erreicht. Firewall Manager kann keine Behebungsaktivitäten durchführen, bei denen AWS Ressourcen ihre Limiteinstellungen überschreiten. In diesen Fällen müssen Sie die Anzahl reduzieren oder die Grenzwerte erhöhen, um fortzufahren. Informationen zu den Beschränkungen finden Sie unter VPCAmazon-Netzwerkkontingente ACLs im VPCAmazon-Benutzerhandbuch.

ACLNetzwerkkonformitätsberichte von Firewall Manager

Firewall Manager überwacht und meldet die Konformität für alle NetzwerkeACLs, die an Subnetze innerhalb des Geltungsbereichs angeschlossen sind.

Im Allgemeinen tritt eine Nichteinhaltung bei Situationen auf, z. B. bei einer falschen Reihenfolge der Regeln oder bei einem Konflikt zwischen Richtlinienregeln und benutzerdefinierten Regeln bei der Verarbeitung des Datenverkehrs. Die Meldung von Verstößen umfasst Verstöße gegen die Einhaltung von Vorschriften und Möglichkeiten zur Behebung von Vorschriften.

Firewall Manager meldet Konformitätsverstöße für eine ACL Netzwerkrichtlinie genauso wie für andere Richtlinientypen. Informationen zur Konformitätsberichterstattung finden Sie unterCompliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen.

Verstöße bei Richtlinienaktualisierungen

Nachdem Sie eine ACL Netzwerkrichtlinie geändert haben, markiert Firewall Manager diese Netzwerke als ACLs nicht konformACLs, bis Firewall Manager das Netzwerk aktualisiert, das in den Geltungsbereich der Richtlinie fällt. Firewall Manager tut dies auch dann, wenn das Netzwerk streng genommen ACLs möglicherweise die Vorschriften einhält.

Wenn Sie beispielsweise Regeln aus der Richtlinienspezifikation entfernen, obwohl das Netzwerk im Geltungsbereich ACLs noch über die zusätzlichen Regeln verfügt, entsprechen deren Regeldefinitionen möglicherweise immer noch der Richtlinie. Da die zusätzlichen Regeln jedoch Teil der Regeln sind, die Firewall Manager verwaltet, betrachtet Firewall Manager sie als Verstöße gegen die aktuellen Richtlinieneinstellungen. Dies unterscheidet sich davon, wie Firewall Manager benutzerdefinierte Regeln anzeigt, die Sie dem von Firewall Manager verwalteten Netzwerk hinzufügenACLs.