Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In che modo Firewall Manager gestisce le sottoreti del firewall
Questa sezione spiega come Firewall Manager gestisce le sottoreti del firewall.
Le sottoreti firewall sono le VPC sottoreti create da Firewall Manager per gli endpoint firewall che filtrano il traffico di rete. Ogni endpoint firewall deve essere distribuito in una sottorete dedicata. VPC Firewall Manager crea almeno una sottorete firewall in VPC ognuna delle quali rientra nell'ambito della policy.
Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione automatica degli endpoint, Firewall Manager crea solo sottoreti firewall nelle zone di disponibilità che dispongono di una sottorete con un percorso gateway Internet o una sottorete con un percorso verso gli endpoint firewall creati da Firewall Manager per la loro politica. Per ulteriori informazioni, consulta VPCse sottoreti nella Amazon VPC User Guide.
Per le policy che utilizzano il modello distribuito o centralizzato in cui si specifica in quali zone di disponibilità Firewall Manager crea gli endpoint firewall, Firewall Manager crea un endpoint in quelle zone di disponibilità specifiche indipendentemente dalla presenza di altre risorse nella zona di disponibilità.
Quando si definisce per la prima volta una politica Network Firewall, si specifica in che modo Firewall Manager gestisce le sottoreti del firewall in ciascuna delle aree VPCs incluse nell'ambito. Non è possibile modificare questa scelta in un secondo momento.
Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione automatica degli endpoint, puoi scegliere tra le seguenti opzioni:
-
Implementa una sottorete firewall per ogni zona di disponibilità con sottoreti pubbliche. Questo è il comportamento che segue di default. Ciò garantisce un'elevata disponibilità delle protezioni di filtraggio del traffico.
-
Implementa una singola sottorete del firewall in un'unica zona di disponibilità. Con questa scelta, Firewall Manager identifica una zona con il maggior numero VPC di sottoreti pubbliche e vi crea la sottorete firewall. L'endpoint firewall singolo filtra tutto il traffico di rete per. VPC Ciò può ridurre i costi del firewall, ma non è altamente disponibile e richiede che il traffico proveniente da altre zone attraversi i confini delle zone per poter essere filtrato.
Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione personalizzata degli endpoint o il modello di distribuzione centralizzato, Firewall Manager crea le sottoreti nelle zone di disponibilità specificate che rientrano nell'ambito della policy.
È possibile fornire VPC CIDR blocchi da utilizzare a Firewall Manager per le sottoreti del firewall oppure lasciare la scelta degli indirizzi degli endpoint del firewall a Firewall Manager.
-
Se non fornisci CIDR blocchi, Firewall Manager richiede VPCs gli indirizzi IP disponibili da utilizzare.
-
Se fornisci un elenco di CIDR blocchi, Firewall Manager cerca nuove sottoreti solo nei CIDR blocchi che fornisci. È necessario utilizzare i blocchi /28. CIDR Per ogni sottorete firewall creata da Firewall Manager, consulta l'elenco di indirizzi CIDR bloccati e utilizza la prima che ritiene applicabile alla zona di disponibilità VPC e che presenta indirizzi disponibili. Se Firewall Manager non è in grado di trovare spazio aperto in VPC (con o senza la restrizione), il servizio non creerà un firewall in. VPC
Se Firewall Manager non è in grado di creare una sottorete firewall richiesta in una zona di disponibilità, contrassegna la sottorete come non conforme alla policy. Mentre la zona si trova in questo stato, il traffico destinato alla zona deve attraversare i confini della zona per essere filtrato da un endpoint in un'altra zona. Questo è simile allo scenario di sottorete a firewall singolo.
