Cara Firewall Manager mengelola dan memantau tabel VPC rute untuk kebijakan Anda

Bagian ini menjelaskan bagaimana Firewall Manager mengelola dan memantau tabel VPC rute Anda.

Ketika Firewall Manager membuat endpoint firewall Anda, itu juga membuat tabel VPC rute untuk mereka. Namun, Firewall Manager tidak mengelola tabel VPC rute Anda. Anda harus mengkonfigurasi tabel VPC rute Anda untuk mengarahkan lalu lintas jaringan ke titik akhir firewall yang dibuat oleh Firewall Manager. Dengan menggunakan penyempurnaan VPC perutean masuk Amazon, ubah tabel perutean Anda untuk merutekan lalu lintas melalui titik akhir firewall baru. Perubahan Anda harus menyisipkan titik akhir firewall di antara subnet yang ingin Anda lindungi dan lokasi luar. Perutean yang tepat yang perlu Anda lakukan tergantung pada arsitektur Anda dan komponennya.

Saat ini, Firewall Manager memungkinkan pemantauan VPC rute tabel rute Anda untuk setiap lalu lintas yang ditujukan ke gateway internet, yang melewati firewall. Firewall Manager tidak mendukung gateway target lain seperti NAT gateway.

Untuk informasi tentang mengelola tabel rute untuk AndaVPC, lihat Mengelola tabel rute untuk Anda VPC di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang mengelola tabel rute untuk Network Firewall, lihat Konfigurasi tabel rute untuk AWS Network Firewall Panduan AWS Network Firewall Pengembang.

Saat Anda mengaktifkan pemantauan untuk kebijakan, Firewall Manager terus memantau konfigurasi VPC rute dan memberi tahu Anda tentang lalu lintas yang melewati pemeriksaan firewall untuk itu. VPC Jika subnet memiliki rute endpoint firewall, Firewall Manager mencari rute berikut:

Jika subnet memiliki rute Network Firewall tetapi ada routing asimetris di Network Firewall dan tabel rute gateway internet Anda, Firewall Manager melaporkan subnet sebagai tidak sesuai. Firewall Manager juga mendeteksi rute ke gateway internet di tabel rute firewall yang dibuat oleh Firewall Manager, serta tabel rute untuk subnet Anda, dan melaporkannya sebagai tidak sesuai. Rute tambahan dalam tabel rute subnet Network Firewall dan tabel rute gateway internet Anda juga dilaporkan sebagai tidak sesuai. Bergantung pada jenis pelanggaran, Firewall Manager menyarankan tindakan remediasi untuk membawa konfigurasi rute ke kepatuhan. Firewall Manager tidak menawarkan saran dalam semua kasus. Misalnya, jika subnet pelanggan Anda memiliki titik akhir firewall yang dibuat di luar Firewall Manager, Firewall Manager tidak menyarankan tindakan remediasi.

Secara default, Firewall Manager akan menandai setiap lalu lintas yang melintasi batas Availability Zone untuk inspeksi sebagai tidak sesuai. Namun, jika Anda memilih untuk secara otomatis membuat satu titik akhir di AndaVPC, Firewall Manager tidak akan menandai lalu lintas yang melintasi batas Availability Zone sebagai tidak sesuai.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir kustom, Anda dapat memilih apakah lalu lintas yang melintasi batas Availability Zone dari Availability Zone tanpa titik akhir firewall ditandai sebagai sesuai atau tidak sesuai.

Ketika Anda mengonfigurasi kebijakan Firewall Manager, jika Anda memilih mode Monitor, Firewall Manager memberikan rincian pelanggaran dan remediasi sumber daya tentang sumber daya Anda. Anda dapat menggunakan tindakan remediasi yang disarankan ini untuk memperbaiki masalah rute di tabel rute Anda. Jika Anda memilih mode Mati, Firewall Manager tidak memantau konten tabel rute untuk Anda. Dengan opsi ini, Anda mengelola tabel VPC rute Anda sendiri. Untuk informasi selengkapnya tentang pelanggaran sumber daya ini, lihatMelihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan.