本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Firewall Manager 如何管理防火牆子網路
本節說明 Firewall Manager 如何管理您的防火牆子網路。
防火牆子網路是 Firewall Manager 為篩選網路流量的防火牆端點建立的VPC子網路。每個防火牆端點都必須部署在專用VPC子網路中。Firewall Manager VPC 會在政策範圍內的每個防火牆子網路中建立至少一個防火牆子網路。
對於使用分散式部署模型搭配自動端點組態的政策,Firriton Manager 只會在可用區域中建立防火牆子網路,該區域具有具有網際網路閘道路由的子網路,或具有路由的子網路,而防火牆管理員為其政策建立的防火牆端點。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的 VPCs和 子網路。
對於使用分散式或集中式模型的政策,您可以在其中指定哪些可用區域 Firewall Manager 建立防火牆端點,則 Firewall Manager 會在這些特定可用區域中建立端點,而不論可用區域中是否有其他資源。
當您第一次定義 Network Firewall 政策時,您可以指定 Firewall Manager 管理VPCs範圍內每個 中的防火牆子網路的方式。您稍後無法變更此選項。
對於使用分散式部署模型搭配自動端點組態的政策,您可以選擇下列選項:
-
為具有公有子網路的每個可用區域部署防火牆子網路。這是預設行為。這可提供高可用性的流量篩選保護。
-
在一個可用區域中部署單一防火牆子網路。使用此選項, Firewall Manager 會識別 中VPC具有最多公有子網路的區域,並在其中建立防火牆子網路。單一防火牆端點會篩選 的所有網路流量VPC。這可以降低防火牆成本,但它不是高度可用的,它需要來自其他區域的流量才能跨區域邊界進行篩選。
對於使用具有自訂端點組態或集中式部署模型的分散式部署模型的政策, Firewall Manager 會在政策範圍內的指定可用區域中建立子網路。
您可以提供用於防火牆子網路的 Firewall Manager VPCCIDR區塊,也可以將防火牆端點地址的選擇保留為 Firewall Manager 來決定。
-
如果您不提供CIDR區塊,Firrate Manager 會查詢您的 VPCs,以取得要使用的可用 IP 地址。
-
如果您提供CIDR區塊的清單,Firester Manager 只會在您提供的CIDR區塊中搜尋新的子網路。您必須使用 /28 CIDR區塊。對於 Firewall Manager 建立的每個防火牆子網路,它會逐步引導您的CIDR區塊清單,並使用第一個其找到的適用於可用區域VPC和具有可用地址的子網路。如果 Firewall Manager 在 中找不到開放空間 VPC(有或沒有限制),則服務不會在 中建立防火牆VPC。
如果 Firewall Manager 無法在可用區域中建立所需的防火牆子網路,則會將該子網路標記為不符合 政策。當區域處於此狀態時,區域的流量必須跨越區域界限,才能由另一個區域中的端點篩選。這類似於單一防火牆子網路案例。
