Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment Firewall Manager gère et surveille les tables de VPC routage pour votre politique
Cette section explique comment Firewall Manager gère et surveille vos tables de VPC routage.
Note
La gestion des tables de routage n'est actuellement pas prise en charge pour les politiques qui utilisent le modèle de déploiement centralisé.
Lorsque Firewall Manager crée les points de terminaison de votre pare-feu, il crée également les tables de VPC routage correspondantes. Firewall Manager ne gère toutefois pas vos tables de VPC routage. Vous devez configurer vos tables de VPC routage pour diriger le trafic réseau vers les points de terminaison du pare-feu créés par Firewall Manager. À l'aide des améliorations apportées au routage d'VPCentrée d'Amazon, modifiez vos tables de routage pour acheminer le trafic via les nouveaux points de terminaison du pare-feu. Vos modifications doivent insérer les points de terminaison du pare-feu entre les sous-réseaux que vous souhaitez protéger et les emplacements extérieurs. Le routage exact que vous devez effectuer dépend de votre architecture et de ses composants.
Firewall Manager permet actuellement de surveiller les itinéraires de votre table de VPC routage pour détecter tout trafic destiné à la passerelle Internet qui contourne le pare-feu. Firewall Manager ne prend pas en charge les autres passerelles cibles telles que les NAT passerelles.
Pour plus d'informations sur la gestion des tables de routage pour vousVPC, consultez la section Gestion des tables de routage pour vous VPC dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations sur la gestion de vos tables de routage pour Network Firewall, consultez la section Configurations des tables de routage AWS Network Firewall dans le manuel du AWS Network Firewall développeur.
Lorsque vous activez la surveillance d'une politique, Firewall Manager surveille en permanence les configurations d'VPCitinéraires et vous alerte en cas de trafic contournant l'inspection du pare-feu pour celaVPC. Si un sous-réseau possède une route de point de terminaison de pare-feu, Firewall Manager recherche les routes suivantes :
-
Itinéraires permettant d'envoyer le trafic vers le point de terminaison Network Firewall.
-
Itinéraires permettant de transférer le trafic du point de terminaison Network Firewall vers la passerelle Internet.
-
Routes entrantes entre la passerelle Internet et le point de terminaison Network Firewall.
-
Routes depuis le sous-réseau du pare-feu.
Si un sous-réseau possède un itinéraire Network Firewall mais que le routage est asymétrique dans Network Firewall et dans la table de routage de votre passerelle Internet, Firewall Manager signale le sous-réseau comme non conforme. Firewall Manager détecte également les itinéraires vers la passerelle Internet dans la table de routage du pare-feu créée par Firewall Manager, ainsi que dans la table de routage de votre sous-réseau, et les signale comme non conformes. Les routes supplémentaires figurant dans la table de routage du sous-réseau Network Firewall et dans la table de routage de votre passerelle Internet sont également signalées comme non conformes. En fonction du type de violation, Firewall Manager suggère des mesures correctives pour mettre en conformité la configuration de l'itinéraire. Firewall Manager ne propose pas de suggestions dans tous les cas. Par exemple, si le sous-réseau de votre client possède un point de terminaison de pare-feu créé en dehors de Firewall Manager, Firewall Manager ne suggère aucune action corrective.
Par défaut, Firewall Manager marquera comme non conforme tout trafic franchissant les limites de la zone de disponibilité pour inspection. Toutefois, si vous choisissez de créer automatiquement un seul point de terminaison dans votre compteVPC, Firewall Manager ne marquera pas le trafic franchissant la limite de la zone de disponibilité comme non conforme.
Pour les politiques qui utilisent des modèles de déploiement distribués avec une configuration de point de terminaison personnalisée, vous pouvez choisir si le trafic traversant la limite de la zone de disponibilité depuis une zone de disponibilité sans point de terminaison de pare-feu est marqué comme conforme ou non conforme.
Note
-
Firewall Manager ne suggère aucune action corrective pour les itinéraires autres que les IPv4 itinéraires, tels que IPv6 les itinéraires basés sur des listes de préfixes.
-
La détection des appels effectués à l'aide de cet
DisassociateRouteTableAPI appel peut prendre jusqu'à 12 heures. -
Firewall Manager crée une table de routage Network Firewall pour un sous-réseau qui contient les points de terminaison du pare-feu. Firewall Manager part du principe que cette table de routage contient uniquement une passerelle Internet valide et des routes VPC par défaut. Toute route supplémentaire ou non valide dans cette table de routage est considérée comme non conforme.
Lorsque vous configurez votre politique de Firewall Manager, si vous choisissez le mode Monitor, Firewall Manager fournit des informations sur les violations de ressources et les mesures correctives concernant vos ressources. Vous pouvez utiliser ces actions correctives suggérées pour résoudre les problèmes de routage dans vos tables de routage. Si vous choisissez le mode Off, Firewall Manager ne surveille pas le contenu de votre table de routage à votre place. Avec cette option, vous gérez vous-même vos tables de VPC routage. Pour plus d'informations sur ces violations des ressources, consultezAfficher les informations de conformité relatives à une AWS Firewall Manager politique.
Avertissement
Si vous choisissez Monitor dans le cadre de la configuration de l' AWS Network Firewall itinéraire lors de la création de votre politique, vous ne pouvez pas le désactiver pour cette stratégie. Toutefois, si vous choisissez Désactivé, vous pourrez l'activer ultérieurement.
