本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本节介绍了 Firewall Manager 如何启动子网的网络 ACL 管理。
当 Firewall Manager 将子网与其创建且标有 FMManaged 设置为 true 的网络 ACL 关联时,就开始管理此子网的网络 ACL 。
要遵守网络 ACL 策略,需要子网的网络 ACL 按照策略中指定的顺序,将策略的第一条规则放在第一位,并按顺序将最后一条规则排在最后,其他所有自定义规则放在中间。可以通过子网已关联的非托管网络 ACL 或通过托管网络 ACL 来满足这些要求。
当 Firewall Manager 将网络 ACL 策略应用于关联至非托管网络 ACL 的子网时,Firewall Manager 会按顺序查看以下内容,并在发现可行选项时停止:
关联的网络 ACL 已经合规:如果当前与子网关联的网络 ACL 合规,则 Firewall Manager 会保留这种关联,不启动此子网的网络 ACL 管理。
Firewall Manager 不会更改或以其他方式管理其不拥有的网络 ACL,但只要此网络 ACL 合规,Firewall Manager 就会将其保留在原位,只是监控其策略合规性。
有合规的托管网络 ACL 可用:如果 Firewall Manager 已经管理有符合所需配置的网络 ACL,则可以选择此选项。如果启用修复,Firewall Manager 会将子网与其关联起来。如果禁用修复,Firewall Manager 会将子网标为不合规,并提供替换网络 ACL 关联的修复选项。
创建新的合规托管网络 ACL:如果启用修复,Firewall Manager 将创建一个新的网络 ACL 并将其与子网关联。否则,Firewall Manager 会将子网标为不合规,并提供创建新的网络 ACL 和替换网络 ACL 关联的修复选项。
如果这些步骤失败,Firewall Manager 会报告子网不合规。
当子网首次进入范围内,而子网的非托管网络 ACL 不合规时,Firewall Manager 会遵照这些步骤。
