Bagaimana Firewall Manager mengelola subnet firewall Anda - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Firewall Manager mengelola subnet firewall Anda

Bagian ini menjelaskan bagaimana Firewall Manager mengelola subnet firewall Anda.

Subnet Firewall adalah VPC subnet yang dibuat oleh Firewall Manager untuk titik akhir firewall yang menyaring lalu lintas jaringan Anda. Setiap endpoint firewall harus digunakan dalam subnet khususVPC. Firewall Manager membuat setidaknya satu subnet firewall di masing-masing subnet VPC yang berada dalam lingkup kebijakan.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Firewall Manager hanya membuat subnet firewall di Availability Zones yang memiliki subnet dengan rute gateway internet, atau subnet dengan rute ke titik akhir firewall yang dibuat oleh Firewall Manager untuk kebijakan mereka. Untuk informasi selengkapnya, lihat VPCsdan subnet di Panduan VPC Pengguna Amazon.

Untuk kebijakan yang menggunakan model terdistribusi atau terpusat tempat Anda menentukan Availability Zones Firewall Manager mana yang membuat titik akhir firewall, Firewall Manager membuat titik akhir di Availability Zone tertentu terlepas dari apakah ada sumber daya lain di Availability Zone.

Saat pertama kali menentukan kebijakan Network Firewall, Anda menentukan cara Firewall Manager mengelola subnet firewall di masing-masing subnet VPCs yang berada dalam lingkup. Anda tidak dapat mengubah pilihan ini nanti.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir otomatis, Anda dapat memilih di antara opsi berikut:

  • Menyebarkan subnet firewall untuk setiap Availability Zone yang memiliki subnet publik. Ini adalah perilaku default. Ini memberikan ketersediaan tinggi perlindungan penyaringan lalu lintas Anda.

  • Menyebarkan subnet firewall tunggal dalam satu Availability Zone. Dengan pilihan ini, Firewall Manager mengidentifikasi zona di VPC yang memiliki subnet publik paling banyak dan membuat subnet firewall di sana. Titik akhir firewall tunggal menyaring semua lalu lintas jaringan untuk file. VPC Ini dapat mengurangi biaya firewall, tetapi tidak terlalu tersedia dan memerlukan lalu lintas dari zona lain untuk melintasi batas zona agar dapat disaring.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir kustom atau model penerapan terpusat, Firewall Manager membuat subnet di Availability Zone tertentu yang berada dalam cakupan kebijakan.

Anda dapat menyediakan VPC CIDR blok untuk Firewall Manager untuk digunakan untuk subnet firewall atau Anda dapat meninggalkan pilihan alamat endpoint firewall hingga Firewall Manager untuk menentukan.

  • Jika Anda tidak memberikan CIDR blok, Firewall Manager menanyakan alamat IP yang tersedia VPCs untuk digunakan.

  • Jika Anda memberikan daftar CIDR blok, Firewall Manager mencari subnet baru hanya di CIDR blok yang Anda berikan. Anda harus menggunakan /28 CIDR blok. Untuk setiap subnet firewall yang dibuat oleh Firewall Manager, ia berjalan di daftar CIDR blokir Anda dan menggunakan yang pertama yang ditemukan yang berlaku untuk Availability Zone dan VPC dan memiliki alamat yang tersedia. Jika Firewall Manager tidak dapat menemukan ruang terbuka di VPC (dengan atau tanpa batasan), layanan tidak akan membuat firewall diVPC.

Jika Firewall Manager tidak dapat membuat subnet firewall yang diperlukan di Availability Zone, itu menandai subnet sebagai tidak sesuai dengan kebijakan. Sementara zona dalam keadaan ini, lalu lintas untuk zona harus melintasi batas zona untuk disaring oleh titik akhir di zona lain. Ini mirip dengan skenario subnet firewall tunggal.