本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Firewall Manager 如何建立防火牆端點
本節說明 Firewall Manager 如何建立防火牆端點。
政策中的防火牆管理類型決定 Firewall Manager 如何建立防火牆。您的政策可以建立分散式防火牆、集中式防火牆,也可以匯入現有的防火牆:
-
分散式 - 使用分散式部署模型, Firewall Manager 會為政策範圍內VPC的每個 建立端點。您可以指定要在其中建立防火牆端點的可用區域來自訂端點位置,或者 Firewall Manager 可以在具有公有子網路的可用區域中自動建立端點。如果您手動選擇可用區域,您可以選擇限制CIDRs每個可用區域允許的 集。如果您決定讓 Firewall Manager 自動建立端點,您還必須指定服務是否將在 中建立單一端點或多個防火牆端點VPCs。
-
對於多個防火牆端點,Firester Manager 會在每個可用區域中部署防火牆端點,其中您在路由表中具有具有網際網路閘道的子網路或 Firewall Manager 建立的防火牆端點路由。這是網路防火牆政策的預設選項。
-
對於單一防火牆端點, Firewall Manager 會在具有網際網路閘道路由的任何子網路中的單一可用區域中部署防火牆端點。使用此選項時,其他區域中的流量需要跨區域界限,才能由防火牆篩選。
注意
對於這兩個選項,必須有一個子網路與其中具有 IPv4/prefixlist 路由的路由表相關聯。Firewall Manager 不會檢查任何其他資源。
-
-
集中式 - 透過集中式部署模型, Firewall Manager 會在檢查 VPC中建立一或多個防火牆端點。檢查VPC是 Firewall Manager 啟動端點VPC的中心。使用集中式部署模型時,您也可以指定要在其中建立防火牆端點的可用區域。您無法在建立政策VPC後變更檢查。若要使用不同的檢查 VPC,您必須建立新的政策。
-
匯入現有防火牆 - 當您匯入現有防火牆時,您可以選擇要在政策中管理的防火牆,方法是將一或多個資源集新增至政策。資源集是資源集合,在此情況下,網路防火牆中的現有防火牆是由組織中的帳戶管理。在政策中使用資源集之前,您必須先建立資源集。如需 Firewall Manager 資源集的相關資訊,請參閱 在 Firewall Manager 中將資源分組。
使用匯入的防火牆時,請記住下列考量事項:
-
如果匯入的防火牆變得不合規,則 Firewall Manager 將嘗試自動解決違規,但以下情況除外:
如果 Firewall Manager 與 Network Firewall 政策的狀態或無狀態預設動作不相符。
如果匯入防火牆的防火牆政策中的規則群組具有與 Firewall Manager 政策中的規則群組相同的優先順序。
如果匯入的防火牆使用與非政策資源集一部分的防火牆相關聯的防火牆政策。這可能是因為防火牆可以只有一個防火牆政策,但單一防火牆政策可以與多個防火牆相關聯。
如果屬於已匯入防火牆的防火牆政策的預先存在規則群組也在 Firewall Manager 政策中指定,則會給予不同的優先順序。
如果您在政策中啟用資源清除,則 Firewall Manager 會從資源集範圍內的防火牆移除已處於FMS匯入政策中的規則群組。
由 管理的防火牆由 Firewall Manager 匯入現有防火牆管理類型管理,一次只能由一個政策管理。如果將相同的資源集新增至多個匯入網路防火牆政策,資源集中的防火牆將由資源集所新增的第一個政策管理,且將由第二個政策忽略。
Firewall Manager 目前不會串流例外政策組態。如需串流例外政策的相關資訊,請參閱 AWS Network Firewall 開發人員指南 中的串流例外政策。
-
如果您使用分散式或集中式防火牆管理來變更政策的可用區域清單, Firewall Manager 會嘗試清除過去建立但目前不在政策範圍內的任何端點。Firewall Manager 只有在沒有參考超出範圍端點的路由表路由時,才會移除端點。如果 Firewall Manager 發現無法刪除這些端點,則會將防火牆子網路標記為不合規,並繼續嘗試移除端點,直到安全刪除為止。
