In che modo Firewall Manager crea endpoint firewall - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

In che modo Firewall Manager crea endpoint firewall

Questa sezione spiega come Firewall Manager crea endpoint firewall.

Il tipo di gestione del firewall nella politica determina il modo in cui Firewall Manager crea i firewall. La tua policy può creare firewall distribuiti, un firewall centralizzato oppure puoi importare firewall esistenti:

  • Distribuito: con il modello di distribuzione distribuito, Firewall Manager crea endpoint per ciascuno degli endpoint VPC che rientrano nell'ambito delle policy. È possibile personalizzare la posizione degli endpoint specificando in quali zone di disponibilità creare gli endpoint firewall oppure Firewall Manager può creare automaticamente gli endpoint nelle zone di disponibilità con sottoreti pubbliche. Se scegli manualmente le zone di disponibilità, hai la possibilità di limitare il set di zone di disponibilità consentite per zona di disponibilità. CIDRs Se decidi di consentire a Firewall Manager di creare automaticamente gli endpoint, devi anche specificare se il servizio creerà un singolo endpoint o più endpoint firewall all'interno del tuo. VPCs

    • Per più endpoint firewall, Firewall Manager implementa un endpoint firewall in ogni zona di disponibilità in cui è presente una sottorete con un gateway Internet o una route di endpoint firewall creata da Firewall Manager nella tabella di routing. Questa è l'opzione predefinita per una politica Network Firewall.

    • Per un singolo endpoint firewall, Firewall Manager implementa un endpoint firewall in una singola zona di disponibilità in qualsiasi sottorete dotata di un percorso gateway Internet. Con questa opzione, il traffico in altre zone deve attraversare i confini delle zone per essere filtrato dal firewall.

      Nota

      Per entrambe queste opzioni, deve esserci una sottorete associata a una tabella di route contenente una route IPv4 /prefixlist. Firewall Manager non verifica la presenza di altre risorse.

  • Centralizzato: con il modello di distribuzione centralizzato, Firewall Manager crea uno o più endpoint firewall all'interno di un'ispezione. VPC L'ispezione VPC è una centrale VPC in cui Firewall Manager avvia gli endpoint. Quando si utilizza il modello di distribuzione centralizzato, si specifica anche in quali zone di disponibilità creare gli endpoint firewall. Non è possibile modificare l'ispezione VPC dopo aver creato la policy. Per utilizzare un'ispezione diversaVPC, è necessario creare una nuova politica.

  • Importa firewall esistenti: quando si importano firewall esistenti, si scelgono i firewall da gestire nella politica aggiungendo uno o più set di risorse alla politica. Un set di risorse è una raccolta di risorse, in questo caso firewall esistenti in Network Firewall, gestite da un account dell'organizzazione. Prima di utilizzare i set di risorse nella politica, è necessario innanzitutto creare un set di risorse. Per informazioni sui set di risorse di Firewall Manager, vedereRaggruppamento delle risorse in Firewall Manager.

    Tieni presente le seguenti considerazioni quando lavori con firewall importati:

    • Se un firewall importato diventa non conforme, Firewall Manager tenterà di risolvere automaticamente la violazione, tranne nelle seguenti circostanze:

      • Se c'è una discrepanza tra le azioni predefinite stateful o stateless della policy Firewall Manager e Network Firewall.

      • Se un gruppo di regole nella politica firewall di un firewall importato ha la stessa priorità di un gruppo di regole nella politica di Firewall Manager.

      • Se un firewall importato utilizza una politica firewall associata a un firewall che non fa parte del set di risorse della policy. Ciò può accadere perché un firewall può avere esattamente una politica firewall, ma una singola politica firewall può essere associata a più firewall.

      • Se a un gruppo di regole preesistente appartenente alla politica firewall di un firewall importato, specificata anche nella politica di Firewall Manager, viene assegnata una priorità diversa.

    • Se si abilita la pulizia delle risorse nella politica, Firewall Manager rimuove i gruppi di regole inclusi nei criteri di FMS importazione dai firewall nell'ambito del set di risorse.

    • I firewall gestiti da Firewall Manager che importano un tipo di gestione firewall esistente possono essere gestiti solo da una policy alla volta. Se lo stesso set di risorse viene aggiunto a più policy firewall di rete di importazione, i firewall del set di risorse verranno gestiti in base alla prima policy a cui è stato aggiunto il set di risorse e ignorati dalla seconda politica.

    • Firewall Manager attualmente non trasmette in streaming le configurazioni dei criteri di eccezione. Per informazioni sulle politiche relative alle eccezioni di flusso, consulta la sezione Politica delle eccezioni di flusso nella Guida per gli AWS Network Firewall sviluppatori.

Se si modifica l'elenco delle zone di disponibilità per le politiche che utilizzano la gestione distribuita o centralizzata del firewall, Firewall Manager tenterà di ripulire tutti gli endpoint creati in passato, ma che attualmente non rientrano nell'ambito delle policy. Firewall Manager rimuoverà l'endpoint solo se non ci sono route della tabella di routing che fanno riferimento all'endpoint fuori ambito. Se Firewall Manager rileva di non essere in grado di eliminare questi endpoint, contrassegnerà la sottorete del firewall come non conforme e continuerà a tentare di rimuovere l'endpoint fino a quando l'eliminazione non sarà sicura.