In che modo Firewall Manager gestisce e monitora le tabelle di VPC routing per le tue policy - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

In che modo Firewall Manager gestisce e monitora le tabelle di VPC routing per le tue policy

Questa sezione spiega come Firewall Manager gestisce e monitora le tabelle di VPC routing.

Nota

La gestione delle tabelle di routing non è attualmente supportata per le politiche che utilizzano il modello di distribuzione centralizzato.

Quando Firewall Manager crea gli endpoint firewall, crea anche le relative tabelle di VPC routing. Tuttavia, Firewall Manager non gestisce le tabelle di VPC routing. È necessario configurare le tabelle di VPC routing per indirizzare il traffico di rete verso gli endpoint firewall creati da Firewall Manager. Utilizzando i miglioramenti VPC del routing di ingresso di Amazon, modifica le tabelle di routing per indirizzare il traffico attraverso i nuovi endpoint firewall. Le modifiche devono inserire gli endpoint del firewall tra le sottoreti che desideri proteggere e le ubicazioni esterne. L'esatto routing da eseguire dipende dall'architettura e dai suoi componenti.

Attualmente, Firewall Manager consente il VPC monitoraggio delle rotte della tabella di routing per qualsiasi traffico destinato al gateway Internet, ovvero aggirando il firewall. Firewall Manager non supporta altri gateway di destinazione come i NAT gateway.

Per informazioni sulla gestione delle tabelle di routing per teVPC, consulta Managing route tables for your VPC nella Amazon Virtual Private Cloud User Guide. Per informazioni sulla gestione delle tabelle di routing per Network Firewall, consulta la sezione Configurazioni delle tabelle di routing AWS Network Firewall nella AWS Network Firewall Developer Guide.

Quando si abilita il monitoraggio di una policy, Firewall Manager monitora continuamente le configurazioni delle VPC route e avvisa l'utente del traffico che aggira l'ispezione del firewall per questo motivo. VPC Se una sottorete ha una route degli endpoint firewall, Firewall Manager cerca le seguenti route:

  • Percorsi per inviare traffico all'endpoint Network Firewall.

  • Percorsi per inoltrare il traffico dall'endpoint Network Firewall al gateway Internet.

  • Percorsi in entrata dal gateway Internet all'endpoint Network Firewall.

  • Percorsi dalla sottorete del firewall.

Se una sottorete ha una route Network Firewall ma il routing è asimmetrico in Network Firewall e nella tabella di routing del gateway Internet, Firewall Manager segnala la sottorete come non conforme. Firewall Manager rileva anche le route verso il gateway Internet nella tabella di routing del firewall creata da Firewall Manager, nonché nella tabella di routing per la sottorete, e le segnala come non conformi. Anche le route aggiuntive nella tabella di routing della sottorete Network Firewall e nella tabella di routing del gateway Internet vengono segnalate come non conformi. A seconda del tipo di violazione, Firewall Manager suggerisce azioni correttive per rendere conforme la configurazione del percorso. Firewall Manager non offre suggerimenti in tutti i casi. Ad esempio, se la sottorete del cliente ha un endpoint firewall creato all'esterno di Firewall Manager, Firewall Manager non suggerisce azioni correttive.

Per impostazione predefinita, Firewall Manager contrassegna come non conforme tutto il traffico che attraversa il confine della zona di disponibilità per l'ispezione. Tuttavia, se scegli di creare automaticamente un singolo endpoint nel tuoVPC, Firewall Manager non contrassegnerà il traffico che attraversa il confine della zona di disponibilità come non conforme.

Per le politiche che utilizzano modelli di distribuzione distribuiti con configurazione personalizzata degli endpoint, è possibile scegliere se il traffico che attraversa il confine della zona di disponibilità da una zona di disponibilità senza un endpoint firewall sia contrassegnato come conforme o non conforme.

Nota

  • Firewall Manager non suggerisce azioni correttive per percorsi diversi dalle IPv4 route, come le route con elenco IPv6 di prefissi.

  • Le chiamate effettuate utilizzando la DisassociateRouteTable API chiamata possono richiedere fino a 12 ore per essere rilevate.

  • Firewall Manager crea una tabella di routing del Network Firewall per una sottorete che contiene gli endpoint del firewall. Firewall Manager presuppone che questa tabella di routing contenga solo gateway Internet validi e route VPC predefinite. Tutte le route aggiuntive o non valide in questa tabella di routing sono considerate non conformi.

Quando si configura la politica di Firewall Manager, se si sceglie la modalità Monitor, Firewall Manager fornisce dettagli sulla violazione delle risorse e sulla correzione delle risorse. È possibile utilizzare queste azioni correttive suggerite per risolvere i problemi di routing nelle tabelle di routing. Se scegli la modalità Off, Firewall Manager non monitora per te il contenuto della tabella di routing. Con questa opzione, puoi gestire da solo le VPC tabelle di routing. Per ulteriori informazioni su queste violazioni delle risorse, vedereVisualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica.

avvertimento

Se scegli Monitor nella configurazione del AWS Network Firewall percorso durante la creazione della tua policy, non puoi disattivarla per quella policy. Tuttavia, se scegli Off, puoi abilitarla in un secondo momento.