Firewall Manager 如何管理和監控政策的VPC路由表

本節說明 Firewall Manager 如何管理和監控您的VPC路由表。

Firewall Manager 建立防火牆端點時，也會為其建立VPC路由表。不過， Firewall Manager 不會管理您的VPC路由表。您必須設定VPC路由表，將網路流量導向 Firewall Manager 建立的防火牆端點。使用 Amazon VPC 輸入路由增強功能，變更路由表以透過新的防火牆端點路由流量。您的變更必須在您要保護的子網路和外部位置之間插入防火牆端點。您需要執行的確切路由取決於您的架構及其元件。

目前， Firewall Manager 允許監控VPC路由表路由，以監控目的地為網際網路閘道的任何流量，而這些流量正在繞過防火牆。Firewall Manager 不支援其他目標閘道，例如NAT閘道。

如需管理 路由表的相關資訊VPC，請參閱 Amazon Virtual Private Cloud 使用者指南 中的管理 的路由表VPC。如需管理 Network Firewall 路由表的相關資訊，請參閱 AWS Network Firewall 開發人員指南 中的路由表組態 AWS Network Firewall。

當您啟用政策的監控時，Firester Manager 會持續監控VPC路由組態，並提醒您繞過該 防火牆檢查的流量VPC。如果子網路具有防火牆端點路由，則 Firewall Manager 會尋找下列路由：

如果子網路具有 Network Firewall 路由，但在 Network Firewall 和您的網際網路閘道路由表中有非對稱路由，則 Firewall Manager 會將子網路報告為不合規。Firewall Manager 也會偵測 Firewall Manager 建立的防火牆路由表中網際網路閘道的路由，以及子網路的路由表，並將其報告為不合規。Network Firewall 子網路路由表和網際網路閘道路由表中的其他路由也會報告為不合規。視違規類型而定， Firewall Manager 會建議修正動作，讓路由組態符合規範。Firewall Manager 不會在所有情況下提供建議。例如，如果您的客戶子網路具有在 Firewall Manager 之外建立的防火牆端點，則 Firewall Manager 不會建議修復動作。

依預設， Firewall Manager 會將任何跨越可用區域界限的流量標記為不合規。不過，如果您選擇在 中自動建立單一端點VPC，則 Firewall Manager 不會將跨越可用區域界限的流量標記為不合規。

對於使用具有自訂端點組態的分散式部署模型的政策，您可以選擇從沒有防火牆端點的可用區域跨越可用區域界限的流量是否標記為合規或不合規。

當您設定 Firewall Manager 政策時，如果您選擇監控模式，Firriton Manager 會提供資源違規和資源修復詳細資訊。您可以使用這些建議的修復動作來修正路由表中的路由問題。如果您選擇關閉模式，防火牆管理員不會為您監控路由表內容。使用此選項，您可以自行管理VPC路由表。如需這些資源違規的詳細資訊，請參閱 檢視 AWS Firewall Manager 原則的符合性資訊。