Firewall Manager 如何为您的策略管理和监控 VPC 路由表

本节介绍了 Firewall Manager 如何管理和监控 VPC 路由表。

当 Firewall Manager 创建您的防火墙端点时，它还会为它们创建 VPC 路由表。但是，Firewall Manager 并不管理您的 VPC 路由表。您必须将 VPC 路由表配置为将网络流量导向由 Firewall Manager 创建的防火墙端点。使用 Amazon VPC 入口路由增强功能，更改您的路由表以通过新的防火墙端点来路由流量。您的更改必须在要保护的子网和外部位置之间插入防火墙端点。您需要执行的确切路由取决于您的架构及其组件。

当前，Firewall Manager 允许监控您的 VPC 路由表路由，以查看任何绕过防火墙而流向互联网网关的流量。Firewall Manager 不支持其他目标网关，例如 NAT 网关。

有关管理您的 VPC 路由表的信息，请参阅 Amazon Virtual Private Cloud 用户指南中的管理 VPC 的路由表。有关管理 Network Firewall 路由表的信息，请参阅 AWS Network Firewall 开发人员指南中的 AWS Network Firewall 的路由表配置。

当您为策略启用监控时，Firewall Manager 会持续监控 VPC 路由配置，并提醒您注意绕过该 VPC 的防火墙检查的流量。如果子网有防火墙端点路由，Firewall Manager 会查找以下路由：

如果子网有网络防火墙路由，但网络防火墙和您的互联网网关路由表中存在非对称路由，Firewall Manager 会将该子网报告为不合规。Firewall Manager 还会在 Firewall Manager 创建的防火墙路由表以及子网的路由表中检测到互联网网关的路由，并将其报告为不合规。Network Firewall 子网路由表和您的互联网网关路由表中的其他路由也被报告为不合规。根据违规类型，Firewall Manager 会建议采取修正措施，使路由配置合规。Firewall Manager 并非在所有情况下都提供建议。例如，如果您的客户子网中有一个在 Firewall Manager 之外创建的防火墙端点，则 Firewall Manager 不会建议采取修正措施。

默认情况下，Firewall Manager 会将所有跨可用区边界以供检查的流量标记为不合规。但是，如果您选择在您的 VPC 中自动创建单个端点，Firewall Manager 不会将跨可用区边界的流量标记为不合规。

对于使用带有自定义端点配置的分布式部署模型的策略，您可以选择将从没有防火墙端点的可用区跨可用区边界的流量标记为合规或不合规。

在配置 Firewall Manager 策略时，如果选择监控模式，Firewall Manager 将提供有关您的资源的资源违规和修正详细信息。您可以使用这些建议的修正措施来修正路由表中的路由问题。如果您选择关闭模式，Firewall Manager 不会为您监控您的路由表内容。使用此选项，您可以自己管理 VPC 路由表。有关这些资源违规行为的更多信息，请参阅 查看 AWS Firewall Manager 策略的合规性信息。