Cómo administra Firewall Manager sus subredes de firewall
En esta sección, se explica cómo Firewall Manager administra sus subredes de firewall.
Las subredes de firewall son las subredes de VPC que Firewall Manager crea para los puntos de conexión de firewall que filtran el tráfico de su red. Cada punto de conexión de firewall debe implementarse en una subred de VPC dedicada. Firewall Manager crea al menos una subred de firewall en cada VPC que esté dentro del alcance de aplicación de la política.
Para las políticas que utilizan el modelo de implementación distribuida con configuración automática de puntos de conexión, Firewall Manager solo crea subredes de firewall en las zonas de disponibilidad que tienen una subred con una ruta de puerta de enlace de Internet o una subred con una ruta a los puntos de conexión de firewall que Firewall Manager creó para su política. Para obtener más información, consulte VPC y subredes en la Guía del usuario de Amazon VPC.
Para las políticas que utilizan el modelo distribuido o centralizado, en el que se especifican las zonas de disponibilidad en las que el Firewall Manager crea los puntos de conexión del firewall, Firewall Manager crea un punto de conexión en esas zonas de disponibilidad específicas, independientemente de si hay otros recursos en la zona de disponibilidad.
Al definir por primera vez una política de un Firewall de red, se especifica la forma en que Firewall Manager administra las subredes del firewall en cada una de las VPC que están dentro del alcance. No podrá cambiar esta opción más adelante.
En el caso de las políticas que utilizan el modelo de implementación distribuido con una configuración automática de puntos de conexión, puede elegir entre las siguientes opciones:
-
Implemente una subred de firewall para cada zona de disponibilidad que tenga subredes públicas. Este es el comportamiento predeterminado. Esto proporciona una alta disponibilidad de sus protecciones de filtrado de tráfico.
-
Implemente una única subred de firewall en una zona de disponibilidad. Con esta opción, Firewall Manager identifica una zona de la VPC que tiene mayor cantidad de subredes públicas y crea la subred de firewall allí. El único punto de conexión del firewall filtra todo el tráfico de red para la VPC. Esto puede reducir los costos del firewall, pero no tiene alta disponibilidad y requiere que el tráfico de otras zonas cruce los límites de la zona para poder ser filtrado.
Para las políticas que utilizan un modelo de implementación distribuido con una configuración de punto de conexión personalizada o el modelo de implementación centralizado, Firewall Manager crea las subredes en las zonas de disponibilidad especificadas que se encuentran dentro del alcance de la política.
Puede proporcionar bloques CIDR de VPC para que Firewall Manager los utilice en las subredes del firewall o puede dejar que Firewall Manager determine la elección de las direcciones de punto de conexión del firewall.
-
Si no proporciona bloques CIDR, Firewall Manager consulta las direcciones IP disponibles en sus VPC para utilizarlas.
-
Si proporciona una lista de bloques de CIDR, el Firewall Manager busca nuevas subredes solo en los bloques de CIDR que proporcione. Debe usar bloques CIDR de /28. Para cada subred de firewall que crea Firewall Manager, recorre su lista de bloques de CIDR y usa la primera que encuentra que es aplicable a la zona de disponibilidad y a la VPC y que tiene direcciones disponibles. Si Firewall Manager no puede encontrar espacios abiertos en la VPC (con o sin la restricción), el servicio no creará un firewall en la VPC.
Si Firewall Manager no puede crear una subred de firewall requerida en una zona de disponibilidad, marca la subred como no compatible con la política. Mientras la zona se encuentre en este estado, el tráfico de la zona debe cruzar los límites de la zona para que un punto de conexión de otra zona pueda filtrarlo. Esto es similar al escenario de una única subred de firewall.
