Cómo crea Firewall Manager los puntos de conexión del firewall - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Cómo crea Firewall Manager los puntos de conexión del firewall

En esta sección se explica cómo Firewall Manager crea puntos de conexión del firewall.

El tipo de administración de firewall de su política determina la forma en que Firewall Manager crea los firewalls. Su política puede crear firewalls distribuidos, un firewall centralizado o puede importar firewalls existentes:

  • Distributed: con el modelo de implementación distribuida, Firewall Manager crea puntos de conexión en cada VPC que se encuentre dentro del alcance de la política. Puede personalizar la ubicación de los puntos de conexión especificando en qué zonas de disponibilidad desea crear puntos de conexión del firewall, o Firewall Manager puede crear puntos de conexión automáticamente en las zonas de disponibilidad con subredes públicas. Si selecciona manualmente las zonas de disponibilidad, tiene la opción de restringir el conjunto de CIDR permitidos por zona de disponibilidad. Si decide permitir que Firewall Manager cree automáticamente los puntos de conexión, también debe especificar si el servicio va a crear un único punto de conexión o varios puntos de conexión de firewall dentro de sus VPC.

    • Para varios puntos de conexión de firewall, Firewall Manager implementa un punto de conexión de firewall en cada zona de disponibilidad en la que tenga una subred con una puerta de enlace de Internet o una ruta de punto de conexión de firewall creada por Firewall Manager en la tabla de enrutamiento. Esta es la opción predeterminada para una política de Network Firewall.

    • Para un único punto de conexión de firewall, Firewall Manager implementa un punto de conexión de firewall en una sola zona de disponibilidad en cualquier subred que tenga una ruta de puerta de enlace de Internet. Con esta opción, el tráfico en otras zonas debe cruzar los límites de la zona para que el firewall lo filtre.

      nota

      Para ambas opciones, debe haber una subred asociada a una tabla de enrutamiento que contenga una ruta IPv4/PrefixList. Firewall Manager no comprueba si hay otros recursos.

  • Centralizado: con el modelo de implementación centralizada, Firewall Manager crea uno o más puntos de conexión de firewall dentro de una VPC de inspección. Una VPC de inspección es una VPC central en la que Firewall Manager lanza sus puntos de conexión. Cuando utiliza el modelo de implementación centralizada, también especifica en qué zonas de disponibilidad desea crear puntos de conexión de firewall. No puede cambiar la VPC de inspección después de crear su política. Para usar una VPC de inspección distinta, debe crear una política nueva.

  • Importar firewalls existentes: al importar firewalls existentes, elija los firewalls que desea administrar en su política agregando uno o más conjuntos de recursos a su política. Un conjunto de recursos es una colección de recursos, en este caso firewalls existentes en Network Firewall, que son administrados por una cuenta de su organización. Antes de utilizar conjuntos de recursos en la política, primero debe crear un conjunto de recursos. Para obtener información sobre los conjuntos de recursos de Firewall Manager, consulte Agrupación de los recursos en Firewall Manager.

    Tenga en cuenta las siguientes consideraciones al trabajar con firewalls importados:

    • Si un firewall importado deja de ser compatible, Firewall Manager intentará resolver automáticamente la infracción, excepto en las siguientes circunstancias:

      • Si no coinciden las acciones predeterminadas con o sin estado de la política de Firewall Manager y Network Firewall.

      • Si un grupo de reglas de la política de firewall de un firewall importado tiene la misma prioridad que un grupo de reglas de la política de Firewall Manager.

      • Si un firewall importado usa una política de firewall asociada a un firewall, esa política no forma parte del conjunto de recursos de la política. Esto puede suceder porque un firewall puede tener exactamente una política de firewall, pero una única política de firewall puede estar asociada a varios firewalls.

      • Si se asigna una prioridad diferente a un grupo de reglas preexistente que pertenece a la política de firewall de un firewall importado y que también se especifica en la política del Firewall Manager.

    • Si habilita la limpieza de recursos en la política, el Firewall Manager elimina los grupos de reglas que han estado en la política de importación de FMS de los firewalls dentro del alcance del conjunto de recursos.

    • Los firewalls administrados por un Firewall Manager importan el tipo de administración de firewall existente solo pueden ser administrados por una política a la vez. Si se agrega el mismo conjunto de recursos a varias políticas de importación de firewalls de red, los firewalls del conjunto de recursos serán administrados por la primera política a la que se agregó el conjunto de recursos y serán ignorados por la segunda política.

    • Actualmente, Firewall Manager no transmite configuraciones de políticas de excepción. Para obtener información sobre las políticas de excepciones de transmisión, consulte la Política de excepción de transmisión) en la Guía para desarrolladores de AWS Network Firewall.

Si cambia la lista de zonas de disponibilidad para las políticas que utilizan una administración de firewall distribuida o centralizada, Firewall Manager intentará limpiar todos los puntos de conexión que se hayan creado en el pasado, pero que actualmente no estén dentro del alcance de la política. Firewall Manager eliminará el punto de conexión solo si no hay rutas de la tabla de enrutamiento que hagan referencia al punto de conexión fuera del alcance. Si Firewall Manager descubre que no puede eliminar estos puntos de conexión, marcará la subred del firewall como no compatible y seguirá intentando eliminar el punto de conexión hasta que sea seguro eliminarlo.