Firewall Manager 如何修复不合规的托管网络 ACL - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
网络 ACL 合规性报告

Firewall Manager 如何修复不合规的托管网络 ACL

本节介绍了 Firewall Manager 在其托管网络 ACL 不符合策略时如何对其进行修复。Firewall Manager 仅修复托管网络 ACL(FMManaged 标签设置为true)。有关非 Firewall Manager 管理的网络 ACL,请参阅 网络 ACL 初始管理

修复可恢复第一条规则、自定义规则和最后一条规则的相对位置,并恢复第一条和最后一条规则的顺序。在修复期间,Firewall Manager 不一定会将规则移动至其在网络 ACL 初始化中使用的规则编号。有关这些规则类别的初始数字设置和说明,请参阅 网络 ACL 初始管理

为建立合规的规则和规则顺序,Firewall Manager 可能需要在网络 ACL 内移动规则。Firewall Manager 会尽量保留网络 ACL 的保护措施,它在操作时保持合规的现有规则排序。例如,它可能会暂时将规则复制到新位置,然后有序删除原始规则,但在此过程中保留相对位置。

这种方法可以保护您的设置,但也需要在网络 ACL 中为临时规则留出空间。如果 Firewall Manager 达到网络 ACL 中的规则限制,它会停止修复。出现这种情况时,网络 ACL 仍然不合规,Firewall Manager 会报告其原因。

如果某个账户向由 Firewall Manager 管理的网络 ACL 添加了自定义规则,而这些规则干扰了 Firewall Manager 的修复工作,Firewall Manager 会停止对网络 ACL 的任何修复活动并报告存在冲突。

强制修复

如果为策略选择自动修复,则还需要指定是对第一条规则还是最后一条规则强制执行修复。

当在自定义规则和策略规则之间的流量处理中遇到冲突时,Firewall Manager 会引用相应的强制修复设置。如果启用了强制修复,尽管存在冲突,Firewall Manager 也会应用修复。如果未启用此选项,Firewall Manager 会停止修复。无论哪种情况,Firewall Manager 都会报告规则冲突并提供修复选项。

规则计数要求和限制

在修复期间,Firewall Manager 可能会临时复制规则,以便在不改变规则提供的保护的情况下移动规则。

对于入站或出站规则,Firewall Manager 执行修复可能需要的最大规则数如下:

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

网络 ACL 和网络 ACL 策略受可变规则限制的约束。如果 Firewall Manager 的修复工作达到极限,它将停止尝试修复并报告不合规情况。

您可以申请提高限制,为 Firewall Manager 执行其修复活动留出空间。或者,您可以更改策略或网络 ACL 中的配置,减少使用的规则数。

有关网络 ACL 限制的信息,请参阅《Amazon VPC 用户指南》中的网络 ACL 中的 Amazon VPC 配额

修复失败时

在更新网络 ACL 时,如果 Firewall Manager 因故需要停止,它不会回滚更改,而是将网络 ACL 保留在临时状态。如果您在 FMManaged 标记设置为 true 的网络 ACL 中看到有重复的规则,则 Firewall Manager 可能正在对其进行修复。更改可能会在一段时间内部分完成,但由于 Firewall Manager 采用的修复方法,这不会中断流量或削弱对关联子网的保护。

Firewall Manager 无法完全修复不合规的网络 ACL 时,它会报告关联子网不合规,并建议可能的修复选项。

修复失败后重试

在大多数情况下,如果 Firewall Manager 未能完成对网络 ACL 的修复更改,它最后会重试更改。

例外情况是修复达到网络 ACL 规则计数限制或 VPC 网络 ACL 计数限制时。Firewall Manager 无法执行使 AWS 资源超出其限制设置的修复活动。在这些情况下,您需要减小计数或增加限制才能继续。有关限制的信息,请参阅《Amazon VPC 用户指南》中的网络 ACL 中的 Amazon VPC 配额

Firewall Manager 网络 ACL 合规性报告

Firewall Manager 监控并报告所有附加到范围内子网的网络 ACL 的合规性。

一般来说,不合规发生在规则排序不正确或策略规则与自定义规则之间的流量处理产生冲突等情况下。不合规报告包括违规行为和修复选项。

Firewall Manager 以与其他策略类型相同的方式,报告网络 ACL 策略的合规性违规行为。有关合规性报告的信息,请参阅 查看 AWS Firewall Manager 策略的合规性信息

策略更新期间不合规

修改网络 ACL 策略后,在 Firewall Manager 对策略范围内的网络 ACL 进行更新之前,Firewall Manager 会将这些网络 ACL 标为不合规。严格来说,即使网络 ACL 可能合规,Firewall Manager 也会这样操作。

例如,如果从策略规范中删除规则,虽然范围内的网络 ACL 仍有额外的规则,但其规则定义可能仍符合策略设置。但是,由于额外规则是 Firewall Manager 管理的规则的一部分,因此 Firewall Manager 将其视为违反当前的策略设置。这与 Firewall Manager 如何看待您添加到 Firewall Manager 托管网络 ACL 的自定义规则不同。