Comment Firewall Manager crée les points de terminaison du pare-feu - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Firewall Manager crée les points de terminaison du pare-feu

Cette section explique comment Firewall Manager crée les points de terminaison du pare-feu.

Le type de gestion de pare-feu indiqué dans votre politique détermine la manière dont Firewall Manager crée les pare-feux. Votre politique peut créer des pare-feux distribués, un pare-feu centralisé ou vous pouvez importer des pare-feux existants :

  • Distribué : avec le modèle de déploiement distribué, Firewall Manager crée des points de terminaison pour chacun VPC d'entre eux relevant du champ d'application des politiques. Vous pouvez soit personnaliser l'emplacement du point de terminaison en spécifiant les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu, soit Firewall Manager peut créer automatiquement des points de terminaison dans les zones de disponibilité avec des sous-réseaux publics. Si vous choisissez manuellement les zones de disponibilité, vous avez la possibilité de restreindre l'ensemble des zones autorisées CIDRs par zone de disponibilité. Si vous décidez de laisser Firewall Manager créer automatiquement les points de terminaison, vous devez également spécifier si le service créera un point de terminaison unique ou plusieurs points de terminaison de pare-feu au sein de votre. VPCs

    • Pour plusieurs points de terminaison de pare-feu, Firewall Manager déploie un point de terminaison de pare-feu dans chaque zone de disponibilité où vous avez un sous-réseau avec une passerelle Internet ou un itinéraire de point de terminaison de pare-feu créé par Firewall Manager dans la table de routage. Il s'agit de l'option par défaut pour une politique Network Firewall.

    • Pour un point de terminaison de pare-feu unique, Firewall Manager déploie un point de terminaison de pare-feu dans une seule zone de disponibilité de tout sous-réseau doté d'un itinéraire de passerelle Internet. Avec cette option, le trafic dans les autres zones doit franchir les limites des zones pour être filtré par le pare-feu.

      Note

      Pour ces deux options, un sous-réseau doit être associé à une table de routage contenant une route IPv4 /prefixlist. Firewall Manager ne recherche aucune autre ressource.

  • Centralisé : avec le modèle de déploiement centralisé, Firewall Manager crée un ou plusieurs points de terminaison de pare-feu dans le cadre d'une inspection VPC. Une inspection VPC est un point central VPC dans lequel Firewall Manager lance vos terminaux. Lorsque vous utilisez le modèle de déploiement centralisé, vous spécifiez également les zones de disponibilité dans lesquelles créer les points de terminaison du pare-feu. Vous ne pouvez pas modifier l'inspection VPC après avoir créé votre politique. Pour utiliser une inspection différenteVPC, vous devez créer une nouvelle politique.

  • Importer des pare-feux existants : lorsque vous importez des pare-feux existants, vous choisissez les pare-feux à gérer dans votre politique en ajoutant un ou plusieurs ensembles de ressources à votre politique. Un ensemble de ressources est un ensemble de ressources, en l'occurrence des pare-feux existants dans Network Firewall, qui sont gérés par un compte au sein de votre organisation. Avant d'utiliser des ensembles de ressources dans votre politique, vous devez d'abord créer un ensemble de ressources. Pour plus d'informations sur les ensembles de ressources de Firewall Manager, consultezRegroupement de vos ressources dans Firewall Manager.

    Tenez compte des considérations suivantes lorsque vous travaillez avec des pare-feux importés :

    • Si un pare-feu importé devient non conforme, Firewall Manager essaiera de résoudre automatiquement la violation, sauf dans les cas suivants :

      • En cas de discordance entre les actions par défaut avec ou sans état de la politique de Firewall Firewall définies par le Firewall Manager.

      • Si un groupe de règles de la politique de pare-feu d'un pare-feu importé a la même priorité qu'un groupe de règles de la stratégie Firewall Manager.

      • Si un pare-feu importé utilise une politique de pare-feu associée à un pare-feu qui ne fait pas partie de l'ensemble de ressources de la stratégie. Cela peut se produire parce qu'un pare-feu peut avoir exactement une politique de pare-feu, mais une seule politique de pare-feu peut être associée à plusieurs pare-feux.

      • Si un groupe de règles préexistant appartenant à la politique de pare-feu d'un pare-feu importé qui est également spécifiée dans la stratégie Firewall Manager reçoit une priorité différente.

    • Si vous activez le nettoyage des ressources dans la politique, Firewall Manager supprime les groupes de règles inclus dans la politique FMS d'importation des pare-feux concernés par l'ensemble de ressources.

    • Les pare-feux gérés par ceux gérés par une importation de Firewall Manager. Le type de gestion de pare-feu existant ne peut être géré que par une seule politique à la fois. Si le même ensemble de ressources est ajouté à plusieurs politiques de pare-feu du réseau d'importation, les pare-feux du jeu de ressources seront gérés par la première stratégie à laquelle le jeu de ressources a été ajouté et seront ignorés par la seconde stratégie.

    • Firewall Manager ne diffuse actuellement pas les configurations de politique d'exception. Pour plus d'informations sur les politiques d'exception relatives aux flux, consultez la section Politique d'exception aux flux dans le Guide du AWS Network Firewall développeur.

Si vous modifiez la liste des zones de disponibilité pour les politiques utilisant une gestion de pare-feu distribuée ou centralisée, Firewall Manager essaiera de nettoyer tous les points de terminaison créés dans le passé, mais qui ne sont pas actuellement concernés par la politique. Firewall Manager supprimera le point de terminaison uniquement s'il n'existe aucune route de table de routage faisant référence au point de terminaison hors de portée. Si Firewall Manager s'aperçoit qu'il n'est pas en mesure de supprimer ces points de terminaison, il marquera le sous-réseau du pare-feu comme étant non conforme et continuera à essayer de supprimer le point de terminaison jusqu'à ce qu'il soit possible de le supprimer en toute sécurité.