Firewall Manager 如何创建防火墙端点 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

Firewall Manager 如何创建防火墙端点

本节介绍了 Firewall Manager 如何创建防火墙端点。

策略中的防火墙管理类型决定了 Firewall Manager 如何创建防火墙。您的策略可以创建分布式防火墙、集中式防火墙,也可以导入现有防火墙

  • 分布式 – 在分布式部署模型下,Firewall Manager 会为策略范围内的每个 VPC 创建端点。您可以通过指定要在哪些可用区域中创建防火墙端点来自定义端点位置,也可以通过 Firewall Manager 在具有公用子网的可用区中自动创建端点。如果您手动选择可用区,则可以选择限制每个可用区允许的 CIDR 集。如果您决定让 Firewall Manager 自动创建端点,则还必须指定该服务是在您的 VPC 中创建单个端点还是多个防火墙端点。

    • 对于多个防火墙端点,Firewall Manager 会在每个可用区部署一个防火墙端点,在该可用区中,您的子网中或带有一个互联网网关,或在路由表中有一个由 Firewall Manager 创建的防火墙端点路由。这是 Network Firewall 策略的默认选项。

    • 对于单个防火墙端点,Firewall Manager 在任何具有互联网网关路由的子网中的单个可用区中部署防火墙端点。使用此选项,其他区域的流量需要跨越区域边界才能被防火墙过滤。

      注意

      对于这两个选项,都必须有一个子网与其中包含 IPv4/PrefixList 路由的路由表相关联。Firewall Manager 不检查任何其他资源。

  • 集中式 – 使用集中部署模型,Firewall Manager 可在检查 VPC 内创建一个或多个防火墙端点。检查 VPC 是一个中央 VPC,Firewall Manager 可以在其中启动您的端点。当您使用集中式部署模型时,您还需要指定要在哪些可用区中创建防火墙端点。创建策略后不能更改检查 VPC。要使用其他检查 VPC,您必须创建新的策略。

  • 导入现有防火墙 – 导入现有防火墙时,您可以通过向策略中添加一个或多个资源集来选择要在策略中管理的防火墙。资源集是指由组织中的账户管理的资源集合,在本例中这些资源就是 Network Firewall 中的现有防火墙。在策略中使用资源集之前,必须首先创建一个资源集。有关 Firewall Manager 资源集的信息,请参阅 在 Firewall Manager 中对资源进行分组

    使用导入的防火墙时请注意以下事项:

    • 如果导入的防火墙不合规,Firewall Manager 将尝试自动解决违规问题,但以下情况除外:

      • Firewall Manager 和 Network Firewall 策略的有状态或无状态默认操作不匹配。

      • 导入的防火墙的防火墙策略中的规则组与 Firewall Manager 策略中的规则组具有相同的优先级。

      • 导入的防火墙使用的防火墙策略与该策略资源集以外的防火墙关联。之所以会发生这种情况,是因为一个防火墙只能具有一个防火墙策略,但是一个防火墙策略可以与多个防火墙相关联。

      • 属于已导入的防火墙的防火墙策略(也在防火墙管理器策略中指定)的已有规则组被赋予不同的优先级。

    • 如果在策略中启用资源清理,Firewall Manager 将从资源集范围内的防火墙中删除 FMS 导入策略中的规则组。

    • 由防火墙管理器导入现有防火墙管理类型所管理的防火墙,一次只能由一个策略管理。如果将相同的资源集添加到多个导入网络防火墙策略中,则该资源集中的防火墙将由资源集所加入的第一个策略管理,而第二个策略将忽略该资源集中的防火墙。

    • Firewall Manager 当前不支持异常策略配置的流式传输。有关直播异常策略的信息,请参阅 AWS Network Firewall 开发人员指南中的直播异常策略

如果您使用分布式或集中式防火墙管理更改策略的可用区域列表,Firewall Manager 将尝试清理过去创建但当前不在策略范围内的任何端点。只有在没有引用超出范围端点的路由表路由时,Firewall Manager 才会删除该端点。如果 Firewall Manager 发现无法删除这些端点,它会将防火墙子网标记为不合规,并将继续尝试删除该端点,直到可以安全删除为止。