本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本節說明 Firewall Manager 如何建立防火牆端點。
政策中的防火牆管理類型決定 Firewall Manager 如何建立防火牆。您的政策可以建立分散式防火牆、集中式防火牆,也可以匯入現有的防火牆:
-
分散式 - 使用分散式部署模型, Firewall Manager 會為政策範圍內的每個 VPC 建立端點。您可以透過指定要在其中建立防火牆端點的可用區域來自訂端點位置,或者 Firewall Manager 可以在具有公有子網路的可用區域中自動建立端點。如果您手動選擇可用區域,您可以選擇限制每個可用區域的允許 CIDRs 集。如果您決定讓 Firewall Manager 自動建立端點,您還必須指定服務是否將在 VPCs中建立單一端點或多個防火牆端點。
-
對於多個防火牆端點,防火牆管理員會在每個可用區域中部署防火牆端點,其中您在路由表中具有具有網際網路閘道的子網路或防火牆管理員建立的防火牆端點路由。這是網路防火牆政策的預設選項。
-
對於單一防火牆端點, Firewall Manager 會在具有網際網路閘道路由的任何子網路中的單一可用區域中部署防火牆端點。使用此選項時,其他區域中的流量需要跨區域邊界,才能由防火牆篩選。
注意
對於這兩個選項,必須有與路由表相關聯的子網路,該路由表中具有 IPv4/字首清單路由。Firewall Manager 不會檢查任何其他資源。
-
-
集中式 - 透過集中式部署模型, Firewall Manager 會在檢查 VPC 中建立一或多個防火牆端點。檢查 VPC 是 Firewall Manager 啟動端點的中央 VPC。當您使用集中式部署模型時,您也可以指定要在其中建立防火牆端點的可用區域。您無法在建立政策後變更檢查 VPC。若要使用不同的檢查 VPC,您必須建立新的政策。
-
匯入現有防火牆 - 當您匯入現有防火牆時,您可以透過將一或多個資源集新增至政策,來選擇要在政策中管理的防火牆。資源集是資源集合,在此情況下,網路防火牆中的現有防火牆是由組織中的帳戶管理。在政策中使用資源集之前,您必須先建立資源集。如需 Firewall Manager 資源集的詳細資訊,請參閱 在 Firewall Manager 中分組您的資源。
使用匯入的防火牆時,請記住下列考量事項:
-
如果匯入的防火牆不合規,防火牆管理員將嘗試自動解決違規,但下列情況除外:
如果 Firewall Manager 與 Network Firewall 政策的狀態或無狀態預設動作不相符。
如果匯入防火牆的防火牆政策中的規則群組具有與防火牆管理員政策中的規則群組相同的優先順序。
如果匯入的防火牆使用與非政策資源集一部分的防火牆相關聯的防火牆政策。這可能是因為防火牆可以只有一個防火牆政策,但單一防火牆政策可以與多個防火牆相關聯。
如果屬於匯入防火牆防火牆政策的預先存在規則群組,且防火牆管理員政策中也指定了不同的優先順序。
如果您在政策中啟用資源清除,防火牆管理員會從資源集範圍內的防火牆移除 FMS 匯入政策中的規則群組。
由 Firewall Manager 管理的防火牆匯入現有防火牆管理類型一次只能由一個政策管理。如果將相同的資源集新增至多個匯入網路防火牆政策,資源集中的防火牆將由資源集新增至的第一個政策管理,而第二個政策則會忽略。
Firewall Manager 目前不會串流例外狀況政策組態。如需串流例外狀況政策的詳細資訊,請參閱《 AWS Network Firewall 開發人員指南》中的串流例外狀況政策。
-
如果您使用分散式或集中式防火牆管理變更政策的可用區域清單,防火牆管理員會嘗試清除過去建立但目前不在政策範圍內的任何端點。只有在沒有參考超出範圍端點的路由表路由時,防火牆管理員才會移除端點。如果 Firewall Manager 發現無法刪除這些端點,它會將防火牆子網路標記為不合規,並繼續嘗試移除端點,直到可安全刪除為止。
