Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo corrige Firewall Manager una red gestionada que no cumple las normas ACLs
En esta sección, se describe cómo Firewall Manager corrige su red gestionada ACLs cuando no cumple con la política. Firewall Manager solo corrige la red administradaACLs, con la FMManaged etiqueta establecida en. true Para redes ACLs que no están administradas por Firewall Manager, consulteAdministración inicial de la red ACL.
La corrección restaura las ubicaciones relativas de la primera regla, la personalizada y la última, y restablece el orden de la primera y la última regla. Durante la corrección, Firewall Manager no necesariamente moverá las reglas a los números de regla que utiliza en la ACL inicialización de la red. Para ver la configuración numérica inicial y las descripciones de estas categorías de reglas, consulte. Administración inicial de la red ACL
Para establecer reglas y un orden de reglas compatibles, es posible que Firewall Manager necesite mover las reglas dentro de la redACL. En la medida de lo posible, Firewall Manager preserva las protecciones ACL de la red manteniendo al mismo tiempo el orden de normas vigente. Por ejemplo, podría duplicar temporalmente las reglas en nuevas ubicaciones y, a continuación, eliminar ordenadamente las reglas originales, conservando las ubicaciones relativas durante el proceso.
Este enfoque protege la configuración, pero también requiere espacio en la red ACL para las reglas provisionales. Si Firewall Manager alcanza el límite de reglas en una redACL, detendrá la corrección. Cuando esto ocurre, la red ACL sigue incumpliendo las normas y Firewall Manager informa del motivo.
Si una cuenta agrega reglas personalizadas a una red ACL administrada por Firewall Manager y esas reglas interfieren con la corrección del Firewall Manager, Firewall Manager detiene cualquier actividad de corrección en la red ACL e informa del conflicto.
Remediación forzosa
Si elige la corrección automática para la política, también especifica si desea forzar la corrección para la primera regla o para la última regla.
Cuando Firewall Manager detecta un conflicto en la gestión del tráfico entre una regla personalizada y una regla de política, hace referencia a la configuración de corrección forzada correspondiente. Si la corrección forzada está habilitada, Firewall Manager la aplica a pesar del conflicto. Si esta opción no está habilitada, el Firewall Manager detiene la corrección. En cualquier caso, Firewall Manager informa del conflicto de reglas y ofrece opciones de corrección.
Requisitos y limitaciones del recuento de reglas
Durante la corrección, Firewall Manager puede duplicar temporalmente las reglas para moverlas sin alterar las protecciones que proporcionan.
Tanto para las reglas de entrada como de salida, el mayor número de reglas que Firewall Manager puede necesitar para corregir es el siguiente:
2 * (the number of rules defined in the policy for the traffic direction) + the number of custom rules defined in the network ACL for the traffic direction
La red ACLs y ACL las políticas de red están sujetas a límites de reglas mutables. Si Firewall Manager alcanza un límite en sus esfuerzos de remediación, deja de intentar remediar e informa del incumplimiento.
Para dejar espacio para que Firewall Manager lleve a cabo sus actividades de corrección, puede solicitar un aumento del límite. Como alternativa, puede cambiar la configuración de la política o la red ACL para reducir el número de reglas utilizadas.
Para obtener información sobre los ACL límites de la red, consulta VPClas cuotas de Amazon en la red ACLs en la Guía del VPC usuario de Amazon.
Cuando la remediación falla
Al actualizar una redACL, si el Firewall Manager necesita detenerse por algún motivo, no revierte los cambios, sino que deja la red ACL en un estado provisional. Si ve reglas duplicadas en una red ACL que tiene la FMManaged etiqueta configurada entrue, lo más probable es que Firewall Manager esté solucionando el problema. Es posible que los cambios se hayan completado parcialmente durante un período, pero debido al enfoque que adopta Firewall Manager para solucionarlos, esto no interrumpirá el tráfico ni reducirá la protección de las subredes asociadas.
Cuando Firewall Manager no corrige por completo la red ACLs que no cumple con las normas, informa de la no conformidad de las subredes asociadas y sugiere posibles opciones de corrección.
Al volver a intentarlo una vez se produce un error en la corrección
En la mayoría de los casos, si Firewall Manager no completa los cambios de corrección en una redACL, eventualmente volverá a intentar el cambio.
La excepción a esto ocurre cuando la corrección alcanza el límite de recuento de ACL reglas de red o el límite de recuento de VPC redesACL. Firewall Manager no puede realizar actividades de corrección que consuman AWS recursos por encima de su configuración límite. En estos casos, es necesario reducir los recuentos o aumentar los límites para poder continuar. Para obtener información sobre los límites, consulta VPClas cuotas de Amazon en la red ACLs en la Guía del VPC usuario de Amazon.
Informes de ACL conformidad de red de Firewall Manager
Firewall Manager supervisa e informa sobre el cumplimiento de todas las redes ACLs que están conectadas a las subredes incluidas en el ámbito de aplicación.
En términos generales, el incumplimiento se produce en situaciones como un orden incorrecto de las reglas o un conflicto en el comportamiento de gestión del tráfico entre las reglas de política y las reglas personalizadas. Los informes de incumplimiento incluyen las infracciones de conformidad y las opciones de remediación.
Firewall Manager informa sobre las infracciones de conformidad de una ACL política de red de la misma manera que para otros tipos de políticas. Para obtener información sobre los informes de conformidad, consulteVisualización de la información de cumplimiento de una AWS Firewall Manager política.
Incumplimiento durante las actualizaciones de las políticas
Después de modificar una ACL política de red, hasta que el Administrador de Firewall actualice las redes ACLs que están dentro del ámbito de la política, el Administrador de Firewall marca las redes que ACLs no cumplen con las normas. Firewall Manager lo hace incluso si la red ACLs puede, estrictamente hablando, cumplir con las normas.
Por ejemplo, si elimina las reglas de la especificación de la política y la red incluida en el ámbito de aplicación ACLs todavía tiene las reglas adicionales, es posible que sus definiciones de reglas sigan cumpliendo con la política. Sin embargo, dado que las reglas adicionales forman parte de las reglas que administra Firewall Manager, Firewall Manager las considera infracciones de la configuración de políticas actual. Esto es diferente de la forma en que el Administrador de Firewall ve las reglas personalizadas que se agregan a la red gestionada por el Firewall ManagerACLs.
