Como o Firewall Manager cria endpoints de firewall - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Firewall Manager cria endpoints de firewall

Essa seção explica como o Firewall Manager cria endpoints de firewall.

O Tipo de gerenciamento de firewall em sua política determina como o Firewall Manager cria firewalls. Sua política pode criar firewalls distribuídos, um firewall centralizado ou você pode importar firewalls existentes:

  • Distribuído: com o modelo de implantação distribuído, o Firewall Manager cria endpoints para cada VPC que está dentro do escopo da política. Você pode personalizar a localização do endpoint especificando em quais zonas de disponibilidade criar endpoints de firewall, ou o Firewall Manager pode criar automaticamente endpoints nas zonas de disponibilidade com sub-redes públicas. Se você escolher manualmente as zonas de disponibilidade, terá a opção de restringir o conjunto de CIDRs permitidos por zona de disponibilidade. Se você decidir permitir que o Firewall Manager crie automaticamente os endpoints, você também deverá especificar se o serviço criará um único endpoint ou vários endpoints de firewall em suas VPCs.

    • Para vários endpoints de firewall, o Firewall Manager implanta um endpoint de firewall em cada zona de disponibilidade em que você tem uma sub-rede com um gateway da Internet ou uma rota de endpoint de firewall criada pelo Firewall Manager na tabela de rotas. Essa é a opção padrão para uma política do Network Firewall.

    • Para um único endpoint de firewall, o Firewall Manager implanta um endpoint de firewall em uma zona de disponibilidade única em qualquer sub-rede que tenha uma rota de gateway da Internet. Com essa opção, o tráfego em outras zonas precisa cruzar os limites da zona para ser filtrado pelo firewall.

      nota

      Para essas duas opções, deve haver uma sub-rede associada a uma tabela de rotas que tenha uma rota IPv4/prefixlist nela. O Firewall Manager não verifica se há outros recursos.

  • Centralizado: com o modelo de implantação centralizado, o Firewall Manager cria um ou mais endpoints de firewall em uma VPC de inspeção. Uma VPC de inspeção é uma VPC central em que o Firewall Manager inicia seus endpoints. Ao usar o modelo de implantação centralizado, você também especifica em quais zonas de disponibilidade criar endpoints de firewall. Você não pode alterar o VPC de inspeção depois de criar sua política. Para usar uma VPC de inspeção diferente, crie uma nova política.

  • Importar firewalls existentes: ao importar firewalls existentes, você escolhe os firewalls a serem gerenciados em sua política adicionando um ou mais conjuntos de recursos à sua política. Um conjunto de recursos é uma coleção de recursos, neste caso firewalls existentes no Network Firewall, que são gerenciados por uma conta na sua organização. Antes de usar conjuntos de recursos em sua política, você deve primeiro criar um conjunto de recursos. Para obter mais informações sobre conjuntos de recursos do Firewall Manager, consulte Como agrupar seus recursos no Firewall Manager.

    Tenha em mente as seguintes considerações ao trabalhar com firewalls importados:

    • Se um firewall importado não estiver em conformidade, o Firewall Manager tentará resolver automaticamente a violação, exceto nas seguintes circunstâncias:

      • Se houver uma incompatibilidade entre as ações padrão com ou sem estado da política do Network Firewall e do Firewall Manager.

      • Se um grupo de regras em uma política de firewall importado tiver a mesma prioridade que um grupo de regras na política do Firewall Manager.

      • Se um firewall importado usa uma política de firewall associada a um firewall que não faz parte do conjunto de recursos da política. Isso pode acontecer porque um firewall pode ter exatamente uma política de firewall, mas uma única política de firewall pode ser associada a vários firewalls.

      • Se um grupo de regras preexistente pertencente à política de firewall de um firewall importado, que também está especificado na política do Firewall Manager, receber uma prioridade diferente.

    • Se você habilitar a limpeza de recursos na política, o Firewall Manager removerá os grupos de regras que estavam na política de importação do FMS dos firewalls no escopo do conjunto de recursos.

    • Os firewalls gerenciados por um tipo de gerenciamento existente importado pelo do Firewall Manager só podem ser gerenciados por uma política por vez. Se o mesmo conjunto de recursos for adicionado a várias políticas do Network Firewall de importação, os firewalls no conjunto de recursos serão gerenciados pela primeira política à qual o conjunto de recursos foi adicionado e serão ignorados pela segunda política.

    • No momento, o Firewall Manager não transmite configurações de política de exceção de fluxo. Para obter informações sobre políticas de exceção de fluxo, consulte Política de exceção de fluxo no Guia do desenvolvedor do AWS Network Firewall.

Se você alterar a lista de zonas de disponibilidade para políticas usando gerenciamento de firewall distribuído ou centralizado, o Firewall Manager tentará limpar todos os endpoints que foram criados no passado, mas que não estão atualmente no escopo da política. O Firewall Manager removerá o endpoint somente se não houver rotas da tabela de rotas que façam referência ao endpoint fora do escopo. Se o Firewall Manager descobrir que não é possível excluir esses endpoints, ele marcará a sub-rede do firewall como não compatível e continuará tentando remover o endpoint até que seja seguro excluí-lo.