Richtlinien für die Amazon VPC-Netzwerkzugriffskontrollliste (ACL) - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Netzwerk-ACL-Regeln und TaggingAnfängliche Netzwerk-ACL-VerwaltungBehebung verwalteter Netzwerk-ACLsBerichterstattung über Netzwerk-ACL-KonformitätBewährte MethodenEinschränkungenLöschen einer Netzwerk-ACL-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für die Amazon VPC-Netzwerkzugriffskontrollliste (ACL)

In diesem Abschnitt wird beschrieben, wie AWS Firewall Manager Netzwerk-ACL-Richtlinien funktionieren, und Anleitungen zu deren Verwendung bereitgestellt. Anleitungen zum Erstellen einer Netzwerk-ACL-Richtlinie mithilfe der Konsole finden Sie unterEine Netzwerk-ACL-Richtlinie erstellen.

Informationen zu Amazon VPC Network Access Control Lists (ACLs) finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

Sie können die Netzwerk-ACL-Richtlinien von Firewall Manager verwenden, um die Netzwerkzugriffskontrolllisten (ACLs) von Amazon Virtual Private Cloud (Amazon VPC) für Ihr Unternehmen in zu verwalten. AWS Organizations Sie definieren die Netzwerk-ACL-Regeleinstellungen der Richtlinie sowie die Konten und Subnetze, für die die Einstellungen durchgesetzt werden sollen. Firewall Manager wendet Ihre Richtlinieneinstellungen kontinuierlich auf Konten und Subnetze an, sobald diese in Ihrer Organisation hinzugefügt oder aktualisiert werden. Informationen zum Geltungsbereich der Richtlinie AWS Firewall Manager Geltungsbereich der Politik und AWS Organizations im AWS Organizations Benutzerhandbuch finden Sie unter.

Wenn Sie eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie definieren, geben Sie zusätzlich zu den standardmäßigen Firewall Manager Manager-Richtlinieneinstellungen wie Name und Geltungsbereich Folgendes an:

  • Erste und letzte Regeln für den Umgang mit eingehendem und ausgehendem Datenverkehr. Firewall Manager erzwingt das Vorhandensein und die Reihenfolge dieser ACLs in den Netzwerk-ACLs, die in den Geltungsbereich der Richtlinie fallen, oder meldet Verstöße. Ihre individuellen Konten können benutzerdefinierte Regeln erstellen, die zwischen den ersten und letzten Regeln der Richtlinie ausgeführt werden.

  • Gibt an, ob eine Korrektur erzwungen werden soll, wenn die Behebung zu Konflikten bei der Verwaltung des Datenverkehrs zwischen den Regeln in der Netzwerk-ACL führen würde. Dies gilt nur, wenn die Behebung für die Richtlinie aktiviert ist.

Netzwerk-ACL-Regeln und Tagging von Firewall Manager

In diesem Abschnitt werden die Spezifikationen der Netzwerk-ACL-Richtlinienregeln und die Netzwerk-ACLs beschrieben, die von Firewall Manager verwaltet werden.

Tagging auf einer verwalteten Netzwerk-ACL

Firewall Manager kennzeichnet eine verwaltete Netzwerk-ACL mit einem FMManaged Tag mit dem Werttrue. Firewall Manager führt die Wiederherstellung nur für Netzwerk-ACLs durch, die diese Tag-Einstellung haben.

Regeln, die Sie in der Richtlinie definieren

In Ihrer Netzwerk-ACL-Richtlinienspezifikation definieren Sie die Regeln, die Sie zuerst und zuletzt für eingehenden Verkehr ausführen möchten, und die Regeln, die Sie zuerst und zuletzt für ausgehenden Verkehr ausführen möchten.

Standardmäßig können Sie bis zu 5 Regeln für eingehenden Datenverkehr definieren, die in einer beliebigen Kombination aus ersten und letzten Regeln in der Richtlinie verwendet werden können. In ähnlicher Weise können Sie bis zu 5 Regeln für ausgehenden Datenverkehr definieren. Weitere Informationen zu diesen Grenzwerten finden Sie unterWeiche Kontingente. Informationen zu den allgemeinen Beschränkungen für Netzwerk-ACLs finden Sie unter Amazon VPC-Kontingente für Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

Sie weisen den Richtlinienregeln keine Regelnummern zu. Stattdessen geben Sie die Regeln in der Reihenfolge an, in der sie ausgewertet werden sollen, und Firewall Manager verwendet diese Reihenfolge, um Regelnummern in den Netzwerk-ACLs zuzuweisen, die er verwaltet.

Darüber hinaus verwalten Sie die Netzwerk-ACL-Regelspezifikationen der Richtlinie so, wie Sie die Regeln in einer Netzwerk-ACL über Amazon VPC verwalten würden. Informationen zur Netzwerk-ACL-Management in Amazon VPC finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs und Arbeiten mit Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

Regeln in einer verwalteten Netzwerk-ACL

Firewall Manager konfiguriert die Regeln in einer Netzwerk-ACL, die er verwaltet, indem er die erste und letzte Regel der Richtlinie vor und hinter alle benutzerdefinierten Regeln platziert, die ein einzelner Account Manager definiert. Firewall Manager behält die Reihenfolge der benutzerdefinierten Regeln bei. Netzwerk-ACLs werden beginnend mit der Regel mit der niedrigsten Nummer ausgewertet.

Wenn Firewall Manager zum ersten Mal eine Netzwerk-ACL erstellt, definiert er die Regeln mit der folgenden Nummerierung:

  • Erste Regeln: 1, 2,... — Von Ihnen in der Netzwerk-ACL-Richtlinie von Firewall Manager definiert.

    Firewall Manager weist Regelnummern ab 1 in Schritten von 1 zu, wobei die Regeln so angeordnet sind, wie Sie sie in der Richtlinienspezifikation angeordnet haben.

  • Benutzerdefinierte Regeln: 5.000, 5.100,... — Von einzelnen Kundenbetreuern über Amazon VPC verwaltet.

    Firewall Manager weist diesen Regeln Zahlen zu, die bei 5.000 beginnen und für jede nachfolgende Regel um 100 erhöht werden.

  • Letzte Regeln:... 32.765, 32.766 — Von Ihnen in der Firewall Manager Manager-Netzwerk-ACL-Richtlinie definiert.

    Firewall Manager weist Regelnummern zu, die auf der höchstmöglichen Zahl enden, 32766, in Schritten von 1, wobei die Regeln so angeordnet sind, wie Sie sie in der Richtlinienspezifikation angeordnet haben.

Nach der Initialisierung der Netzwerk-ACL kontrolliert Firewall Manager keine Änderungen, die einzelne Konten in ihren verwalteten Netzwerk-ACLs vornehmen. Einzelne Konten können eine Netzwerk-ACL ändern, ohne dass sie die Richtlinien verletzt, vorausgesetzt, dass alle benutzerdefinierten Regeln zwischen den ersten und letzten Regeln der Richtlinie nummeriert bleiben und die erste und letzte Regel ihre festgelegte Reihenfolge beibehalten. Es hat sich bewährt, bei der Verwaltung benutzerdefinierter Regeln die in diesem Abschnitt beschriebene Nummerierung einzuhalten.

So initiiert Firewall Manager die Netzwerk-ACL-Verwaltung für ein Subnetz

Firewall Manager beginnt mit der Verwaltung der Netzwerk-ACL für ein Subnetz, wenn er das Subnetz einer Netzwerk-ACL zuordnet, die Firewall Manager erstellt und markiert hat, auf FMManaged gesetzt hat. true

Die Einhaltung einer Netzwerk-ACL-Richtlinie setzt voraus, dass in der Netzwerk-ACL des Subnetzes die ersten Regeln der Richtlinie an erster Stelle stehen, und zwar in der in der Richtlinie angegebenen Reihenfolge, die letzten Regeln an letzter Stelle und alle anderen benutzerdefinierten Regeln in der Mitte. Diese Anforderungen können durch eine nicht verwaltete Netzwerk-ACL, der das Subnetz bereits zugeordnet ist, oder durch eine verwaltete Netzwerk-ACL erfüllt werden.

Wenn Firewall Manager eine Netzwerk-ACL-Richtlinie auf ein Subnetz anwendet, das mit einer nicht verwalteten Netzwerk-ACL verknüpft ist, überprüft Firewall Manager die folgenden Punkte der Reihe nach und stoppt, wenn eine praktikable Option identifiziert wird:

  1. Die zugehörige Netzwerk-ACL ist bereits konform — Wenn die Netzwerk-ACL, die derzeit dem Subnetz zugeordnet ist, konform ist, behält Firewall Manager diese Zuordnung bei und startet die Netzwerk-ACL-Management für das Subnetz nicht.

    Firewall Manager ändert oder verwaltet keine Netzwerk-ACL, die ihm nicht gehört, aber solange sie konform ist, lässt Firewall Manager sie unverändert und überwacht sie lediglich auf die Einhaltung der Richtlinien.

  2. Eine konforme verwaltete Netzwerk-ACL ist verfügbar — Wenn Firewall Manager bereits eine Netzwerk-ACL verwaltet, die der erforderlichen Konfiguration entspricht, ist dies eine Option. Wenn die Wiederherstellung aktiviert ist, ordnet Firewall Manager dem Subnetz das Subnetz zu. Wenn die Wiederherstellung deaktiviert ist, markiert Firewall Manager das Subnetz als nicht konform und bietet als Wartungsoption an, die Netzwerk-ACL-Zuordnung zu ersetzen.

  3. Eine neue konforme verwaltete Netzwerk-ACL erstellen — Wenn die Wiederherstellung aktiviert ist, erstellt Firewall Manager eine neue Netzwerk-ACL und ordnet sie dem Subnetz zu. Andernfalls markiert Firewall Manager das Subnetz als nicht konform und bietet die Möglichkeit, die neue Netzwerk-ACL zu erstellen und die Netzwerk-ACL-Zuordnung zu ersetzen.

Wenn diese Schritte fehlschlagen, meldet Firewall Manager die Nichtkonformität für das Subnetz.

Firewall Manager folgt diesen Schritten, wenn ein Subnetz zum ersten Mal in den Geltungsbereich fällt und wenn die nicht verwaltete Netzwerk-ACL eines Subnetzes nicht richtlinientreu ist.

So behebt Firewall Manager nicht konforme verwaltete Netzwerk-ACLs

In diesem Abschnitt wird beschrieben, wie Firewall Manager seine verwalteten Netzwerk-ACLs behebt, wenn sie nicht den Richtlinien entsprechen. Firewall Manager behebt nur verwaltete Netzwerk-ACLs, bei denen das FMManaged Tag auf gesetzt ist. true Informationen zu Netzwerk-ACLs, die nicht von Firewall Manager verwaltet werden, finden Sie unterAnfängliche Netzwerk-ACL-Verwaltung.

Bei der Korrektur werden die relativen Positionen der ersten, benutzerdefinierten und letzten Regel wiederhergestellt und die Reihenfolge der ersten und letzten Regel wiederhergestellt. Während der Behebung verschiebt Firewall Manager Regeln nicht unbedingt auf die Regelnummern, die er bei der Netzwerk-ACL-Initialisierung verwendet. Die anfänglichen Zahleneinstellungen und Beschreibungen dieser Regelkategorien finden Sie unter. Anfängliche Netzwerk-ACL-Verwaltung

Um konforme Regeln und die Reihenfolge der Regeln festzulegen, muss Firewall Manager möglicherweise Regeln innerhalb der Netzwerk-ACL verschieben. Der Firewall Manager behält so weit wie möglich den Schutz der Netzwerk-ACL bei, indem er dabei die bestehende konforme Regelreihenfolge beibehält. Beispielsweise kann es Regeln vorübergehend an neuen Speicherorten duplizieren und dann eine geordnete Entfernung der ursprünglichen Regeln durchführen, wobei die relativen Positionen während des Vorgangs beibehalten werden.

Dieser Ansatz schützt Ihre Einstellungen, erfordert aber auch Speicherplatz in der Netzwerk-ACL für die vorläufigen Regeln. Wenn Firewall Manager das Limit für Regeln in einer Netzwerk-ACL erreicht, wird die Wiederherstellung gestoppt. In diesem Fall ist die Netzwerk-ACL weiterhin nicht richtlinientreu und Firewall Manager meldet den Grund dafür.

Wenn ein Konto einer Netzwerk-ACL, die von Firewall Manager verwaltet wird, benutzerdefinierte Regeln hinzufügt und diese Regeln die Firewall Manager-Wiederherstellung beeinträchtigen, stoppt Firewall Manager alle Wartungsaktivitäten auf der Netzwerk-ACL und meldet den Konflikt.

Erzwungene Behebung

Wenn Sie die auto Korrektur für die Richtlinie wählen, geben Sie auch an, ob die Korrektur für die ersten oder letzten Regeln erzwungen werden soll.

Wenn Firewall Manager bei der Verarbeitung des Datenverkehrs einen Konflikt zwischen einer benutzerdefinierten Regel und einer Richtlinienregel feststellt, bezieht er sich auf die entsprechende Einstellung für die erzwungene Wiederherstellung. Wenn die erzwungene Wiederherstellung aktiviert ist, wendet Firewall Manager die Wiederherstellung trotz des Konflikts an. Wenn diese Option nicht aktiviert ist, stoppt Firewall Manager die Wiederherstellung. In beiden Fällen meldet Firewall Manager den Regelkonflikt und bietet Behebungsoptionen an.

Anforderungen und Einschränkungen für die Anzahl der Regeln

Während der Behebung dupliziert Firewall Manager möglicherweise vorübergehend Regeln, um sie zu verschieben, ohne den Schutz zu ändern, den sie bieten.

Sowohl für eingehende als auch für ausgehende Regeln ist die größte Anzahl von Regeln, die Firewall Manager möglicherweise benötigt, um die Wiederherstellung durchzuführen, die folgende: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Netzwerk-ACLs und Netzwerk-ACL-Richtlinien sind an veränderbare Regelgrenzwerte gebunden. Wenn Firewall Manager bei seinen Abhilfemaßnahmen auf ein Limit stößt, beendet er den Versuch, die Fehler zu beheben, und meldet die Nichtkonformität.

Um Platz für Firewall Manager für die Durchführung seiner Behebungsaktivitäten zu schaffen, können Sie eine Erhöhung des Limits beantragen. Alternativ können Sie die Konfiguration in der Richtlinie oder der Netzwerk-ACL ändern, um die Anzahl der verwendeten Regeln zu reduzieren.

Informationen zu den Netzwerk-ACL-Limits finden Sie unter Amazon VPC-Kontingente für Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

Wenn die Behebung fehlschlägt

Wenn Firewall Manager während der Aktualisierung einer Netzwerk-ACL aus irgendeinem Grund beendet werden muss, macht er die Änderungen nicht rückgängig, sondern belässt die Netzwerk-ACL in einem Zwischenzustand. Wenn Sie doppelte Regeln in einer Netzwerk-ACL sehen, für die das FMManaged Tag auf gesetzt isttrue, ist Firewall Manager wahrscheinlich gerade dabei, diese zu korrigieren. Änderungen können für einen bestimmten Zeitraum teilweise abgeschlossen sein, aber aufgrund der Vorgehensweise, die Firewall Manager bei der Behebung verfolgt, wird dadurch weder der Datenverkehr unterbrochen noch der Schutz für zugehörige Subnetze beeinträchtigt.

Wenn Firewall Manager nicht konforme Netzwerk-ACLs nicht vollständig behebt, meldet er die Nichtkonformität für die zugehörigen Subnetze und schlägt mögliche Behebungsoptionen vor.

Ein erneuter Versuch nach der Behebung schlägt fehl

In den meisten Fällen, wenn Firewall Manager die Wartungsänderungen an einer Netzwerk-ACL nicht abschließen kann, wird er die Änderung irgendwann erneut versuchen.

Eine Ausnahme ist, wenn die Wiederherstellung das Limit für die Anzahl der Netzwerk-ACL-Regeln oder das VPC-Netzwerk-ACL-Zähllimit erreicht. Firewall Manager kann keine Behebungsaktivitäten durchführen, bei denen AWS Ressourcen ihre Limiteinstellungen überschreiten. In diesen Fällen müssen Sie die Anzahl reduzieren oder die Grenzwerte erhöhen, um fortzufahren. Informationen zu den Beschränkungen finden Sie unter Amazon VPC-Kontingente für Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

Firewall Manager Manager-Netzwerk-ACL-Konformitätsberichte

Firewall Manager überwacht und meldet die Konformität für alle Netzwerk-ACLs, die an Subnetze im Geltungsbereich angeschlossen sind.

Im Allgemeinen tritt eine Nichteinhaltung bei Situationen auf, z. B. bei einer falschen Reihenfolge der Regeln oder bei einem Konflikt zwischen Richtlinienregeln und benutzerdefinierten Regeln bei der Verarbeitung des Datenverkehrs. Die Berichterstattung über Verstöße umfasst Compliance-Verstöße und Möglichkeiten zur Behebung von Vorschriften.

Firewall Manager meldet Compliance-Verstöße für eine Netzwerk-ACL-Richtlinie genauso wie für andere Richtlinientypen. Informationen zur Konformitätsberichterstattung finden Sie unterCompliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen.

Verstöße bei Richtlinienaktualisierungen

Nachdem Sie eine Netzwerk-ACL-Richtlinie geändert haben, markiert Firewall Manager diese Netzwerk-ACLs, bis Firewall Manager die Netzwerk-ACLs aktualisiert, die in den Geltungsbereich der Richtlinie fallen, diese Netzwerk-ACLs als nicht konform. Firewall Manager tut dies auch dann, wenn die Netzwerk-ACLs streng genommen möglicherweise den Vorschriften entsprechen.

Wenn Sie beispielsweise Regeln aus der Richtlinienspezifikation entfernen, obwohl für Netzwerk-ACLs im Geltungsbereich weiterhin die zusätzlichen Regeln gelten, könnten ihre Regeldefinitionen dennoch der Richtlinie entsprechen. Da die zusätzlichen Regeln jedoch Teil der Regeln sind, die Firewall Manager verwaltet, betrachtet Firewall Manager sie als Verstöße gegen die aktuellen Richtlinieneinstellungen. Dies unterscheidet sich davon, wie Firewall Manager benutzerdefinierte Regeln anzeigt, die Sie zu den von Firewall Manager verwalteten Netzwerk-ACLs hinzufügen.

Bewährte Methoden für die Verwendung von Netzwerk-ACL-Richtlinien von Firewall Manager

In diesem Abschnitt werden Empfehlungen für die Arbeit mit Netzwerk-ACL-Richtlinien und verwalteten Netzwerk-ACLs von Firewall Manager aufgeführt.

Anhand des FMManaged Tags können Sie Netzwerk-ACLs identifizieren, die von Firewall Manager verwaltet werden.

Bei den Netzwerk-ACLs, die Firewall Manager verwaltet, ist das FMManaged Tag auf true gesetzt. Verwenden Sie dieses Tag, um Ihre eigenen benutzerdefinierten Netzwerk-ACLs von denen zu unterscheiden, die Sie über Firewall Manager verwalten.

Ändern Sie nicht den Wert des FMManaged Tags in einer Netzwerk-ACL

Firewall Manager verwendet dieses Tag, um seinen Verwaltungsstatus mit einer Netzwerk-ACL festzulegen und zu bestimmen.

Ändern Sie nicht die Zuordnungen für Subnetze, für die Firewall Manager Netzwerk-ACLs verwaltet.

Ändern Sie die Zuordnungen zwischen Ihren Subnetzen und Netzwerk-ACLs, die von Firewall Manager verwaltet werden, nicht manuell. Dadurch kann die Fähigkeit von Firewall Manager, den Schutz für diese Subnetze zu verwalten, deaktiviert werden. Sie können Netzwerk-ACLs identifizieren, die von Firewall Manager verwaltet werden, indem Sie nach den FMManaged Tag-Einstellungen von true suchen.

Um ein Subnetz aus der Firewall Manager Manager-Richtlinienverwaltung zu entfernen, verwenden Sie die Einstellungen für den Geltungsbereich der Firewall Manager Manager-Richtlinie, um das Subnetz auszuschließen. Sie können das Subnetz beispielsweise taggen und dieses Tag dann aus dem Geltungsbereich der Richtlinie ausschließen. Weitere Informationen finden Sie unter AWS Firewall Manager Geltungsbereich der Politik.

Wenn Sie eine verwaltete Netzwerk-ACL aktualisieren, ändern Sie nicht die Regeln, die von Firewall Manager verwaltet werden.

Halten Sie in einer Netzwerk-ACL, die von Firewall Manager verwaltet wird, Ihre benutzerdefinierten Regeln von den Richtlinienregeln getrennt, indem Sie das unter beschriebene Nummerierungsschema einhalten. Netzwerk-ACL-Regeln und Tagging von Firewall Manager Fügen Sie nur Regeln mit Zahlen zwischen 5.000 und 32.000 hinzu oder ändern Sie sie.

Vermeiden Sie es, zu viele Regeln für Ihre Kontolimits hinzuzufügen

Während der Wiederherstellung einer Netzwerk-ACL erhöht Firewall Manager die Anzahl der Netzwerk-ACL-Regeln normalerweise vorübergehend. Um Verstöße zu vermeiden, stellen Sie sicher, dass genügend Platz für die von Ihnen verwendeten Regeln vorhanden ist. Weitere Informationen finden Sie unter So behebt Firewall Manager nicht konforme verwaltete Netzwerk-ACLs.

Beginnen Sie mit deaktivierter automatischer Korrektur

Beginnen Sie mit deaktivierter automatischer Korrektur, und überprüfen Sie dann die Richtliniendetails, um festzustellen, welche Auswirkungen die automatische Korrektur haben würde. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie, um die automatische Korrektur zu aktivieren.

Vorbehalte gegen Netzwerk-ACL-Richtlinien von Firewall Manager

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für die Verwendung der Netzwerk-ACL-Richtlinien von Firewall Manager aufgeführt.

  • Langsamere Aktualisierungszeiten als bei anderen Richtlinien — Firewall Manager wendet Netzwerk-ACL-Richtlinien und Richtlinienänderungen im Allgemeinen langsamer an als bei anderen Firewall Manager Manager-Richtlinien, da die Geschwindigkeit, mit der die Amazon EC2 EC2-Netzwerk-ACL-APIs Anfragen verarbeiten können, begrenzt ist. Möglicherweise stellen Sie fest, dass Richtlinienänderungen länger dauern als ähnliche Änderungen mit anderen Firewall Manager Manager-Richtlinien, insbesondere wenn Sie eine Richtlinie zum ersten Mal hinzufügen.

  • Für den anfänglichen Subnetzschutz bevorzugt Firewall Manager ältere Richtlinien. Dies gilt nur für Subnetze, die noch nicht durch eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie geschützt sind. Wenn ein Subnetz gleichzeitig in den Geltungsbereich mehrerer Netzwerk-ACL-Richtlinien fällt, verwendet Firewall Manager die älteste Richtlinie, um das Subnetz zu schützen.

  • Gründe für eine Richtlinie zur Einstellung des Schutzes eines Subnetzes — Eine Richtlinie, die die Netzwerk-ACL für ein Subnetz verwaltet, behält die Verwaltung bei, bis einer der folgenden Fälle eintritt:

    • Das Subnetz fällt nicht mehr in den Geltungsbereich der Richtlinie.

    • Die Richtlinie wird gelöscht.

    • Sie ändern die Zuordnung des Subnetzes manuell zu einer Netzwerk-ACL, die durch eine andere Firewall Manager Manager-Richtlinie verwaltet wird und für die das Subnetz gilt.

Löschen einer Firewall Manager Manager-Netzwerk-ACL-Richtlinie

Wenn Sie eine Firewall Manager-Netzwerk-ACL-Richtlinie löschen, ändert Firewall Manager die FMManaged Tag-Werte für alle Netzwerk-ACLs, die er für die Richtlinie verwaltet hat, false auf.

Darüber hinaus können Sie wählen, ob die durch die Richtlinie erstellten Ressourcen bereinigt werden sollen. Wenn Sie „Aufräumen“ wählen, führt Firewall Manager die folgenden Schritte der Reihe nach durch:

  1. Stellen Sie die Zuordnung wieder auf das Original zurück — Firewall Manager versucht, das Subnetz wieder der Netzwerk-ACL zuzuordnen, der es zugeordnet war, bevor Firewall Manager mit der Verwaltung begann.

  2. Erste und letzte Regel aus der Netzwerk-ACL entfernen — Wenn die Zuordnung nicht geändert werden kann, versucht Firewall Manager, die ersten und letzten Regeln der Richtlinie zu entfernen, sodass nur die benutzerdefinierten Regeln in der Netzwerk-ACL verbleiben, die dem Subnetz zugeordnet ist.

  3. Nichts an den Regeln oder der Assoziation ändern — Wenn er keines der oben genannten Dinge tun kann, belässt Firewall Manager die Netzwerk-ACL und ihre Zuordnung unverändert.

Wenn Sie die Bereinigungsoption nicht wählen, müssen Sie jede Netzwerk-ACL manuell verwalten, nachdem die Richtlinie gelöscht wurde. In den meisten Situationen ist die Auswahl der Bereinigungsoption der einfachste Ansatz.