As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Esta seção explica como o Firewall Manager gerencia suas sub-redes de firewall.
As sub-redes de firewall são as sub-redes VPC que o Firewall Manager cria para os endpoints de firewall que filtram seu tráfego de rede. Cada endpoint de firewall deve ser implantado em uma sub-rede VPC dedicada. O Firewall Manager cria pelo menos uma sub-rede de firewall em cada VPC que está dentro do escopo da política.
Para políticas que usam o modelo de implantação distribuído com configuração automática de endpoint, o Firewall Manager cria apenas sub-redes de firewall em zonas de disponibilidade que têm uma sub-rede com uma rota de gateway da Internet ou uma sub-rede com uma rota para os endpoints de firewall que o Firewall Manager criou para sua política. Para obter mais informações, consulte VPCs e sub-redes no Manual do usuário da Amazon VPC.
Para políticas que usam o modelo distribuído ou centralizado em que você especifica em quais zonas de disponibilidade o Firewall Manager cria os endpoints do firewall, o Firewall Manager cria um endpoint nessas zonas de disponibilidade específicas, independentemente de haver outros recursos na zona de disponibilidade.
Ao definir pela primeira vez uma política do Network Firewall, você especifica como o Firewall Manager gerencia as sub-redes do firewall em cada uma das VPCs que estão no escopo. Não é possível alterar essa opção mais tarde.
Para políticas que usam o modelo de implantação distribuído com configuração automática de endpoint, você pode escolher entre as seguintes opções:
-
Implante uma sub-rede de firewall para cada zona de disponibilidade que tenha sub-redes públicas. Esse é o comportamento padrão. Isso fornece alta disponibilidade de suas proteções de filtragem de tráfego.
-
Implemente uma sub-rede de firewall única em uma zona de disponibilidade. Com essa opção, o Firewall Manager identifica uma zona na VPC que tem a maioria das sub-redes públicas e cria a sub-rede do firewall lá. O endpoint de firewall único filtra todo o tráfego de rede para a VPC. Isso pode reduzir os custos do firewall, mas não está altamente disponível e exige que o tráfego de outras zonas ultrapasse os limites da zona para ser filtrado.
Para políticas que usam o modelo de implantação distribuído com configuração de endpoint personalizada ou o modelo de implantação centralizado, o Firewall Manager cria as sub-redes nas zonas de disponibilidade especificadas que estão dentro do escopo da política.
Você pode fornecer blocos CIDR da VPC para o Firewall Manager usar nas sub-redes do firewall ou deixar que o Firewall Manager determine os endereços de endpoint do firewall.
-
Se você não fornecer blocos CIDR, o Firewall Manager consulta suas VPCs em busca de endereços IP disponíveis para uso.
-
Se você fornecer uma lista de blocos CIDR, o Firewall Manager pesquisará novas sub-redes somente nos blocos CIDR que você fornecer. Você deve usar blocos CIDR /28. Para cada sub-rede de firewall criada pelo Firewall Manager, ele percorre sua lista de bloqueios de CIDR e usa a primeira que achar aplicável à zona de disponibilidade e à VPC e que tenha endereços disponíveis. Se o Firewall Manager não conseguir encontrar espaço aberto na VPC (com ou sem a restrição), o serviço não criará um firewall na VPC.
Se o Firewall Manager não conseguir criar uma sub-rede de firewall necessária em uma zona de disponibilidade, ele marcará a sub-rede como não compatível com a política. Enquanto a zona estiver nesse estado, o tráfego da zona deve cruzar os limites da zona para ser filtrado por um endpoint em outra zona. Isso é semelhante ao cenário de sub-rede de firewall única.
