Comment Firewall Manager gère vos sous-réseaux de pare-feu - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Firewall Manager gère vos sous-réseaux de pare-feu

Cette section explique comment Firewall Manager gère vos sous-réseaux de pare-feu.

Les sous-réseaux de pare-feu sont les VPC sous-réseaux créés par Firewall Manager pour les points de terminaison du pare-feu qui filtrent le trafic réseau. Chaque point de terminaison du pare-feu doit être déployé dans un VPC sous-réseau dédié. Firewall Manager crée au moins un sous-réseau de pare-feu dans chaque VPC sous-réseau relevant du champ d'application de la politique.

Pour les politiques qui utilisent le modèle de déploiement distribué avec configuration automatique des points de terminaison, Firewall Manager crée uniquement des sous-réseaux de pare-feu dans les zones de disponibilité qui possèdent un sous-réseau avec une route de passerelle Internet ou un sous-réseau avec une route vers les points de terminaison du pare-feu créés par Firewall Manager pour sa politique. Pour plus d'informations, consultez la section VPCset les sous-réseaux dans le guide de VPC l'utilisateur Amazon.

Pour les politiques qui utilisent le modèle distribué ou centralisé dans lequel vous spécifiez les zones de disponibilité dans lesquelles Firewall Manager crée les points de terminaison du pare-feu, Firewall Manager crée un point de terminaison dans ces zones de disponibilité spécifiques, qu'il existe ou non d'autres ressources dans la zone de disponibilité.

Lorsque vous définissez pour la première fois une politique de Network Firewall, vous spécifiez la manière dont Firewall Manager gère les sous-réseaux de pare-feu dans chacun des VPCs réseaux concernés. Vous ne pourrez pas modifier ce choix ultérieurement.

Pour les politiques qui utilisent le modèle de déploiement distribué avec configuration automatique des points de terminaison, vous pouvez choisir entre les options suivantes :

  • Déployez un sous-réseau de pare-feu pour chaque zone de disponibilité dotée de sous-réseaux publics. Il s'agit du comportement de par défaut. Cela garantit une haute disponibilité de vos protections de filtrage du trafic.

  • Déployez un sous-réseau de pare-feu unique dans une zone de disponibilité. Avec ce choix, Firewall Manager identifie la zone VPC qui possède le plus grand nombre de sous-réseaux publics et y crée le sous-réseau de pare-feu. Le point de terminaison unique du pare-feu filtre tout le trafic réseau pour leVPC. Cela peut réduire les coûts du pare-feu, mais il n'est pas hautement disponible et nécessite que le trafic en provenance d'autres zones franchisse les limites des zones pour être filtré.

Pour les politiques qui utilisent le modèle de déploiement distribué avec une configuration de point de terminaison personnalisée ou le modèle de déploiement centralisé, Firewall Manager crée les sous-réseaux dans les zones de disponibilité spécifiées qui entrent dans le champ d'application de la politique.

Vous pouvez fournir des VPC CIDR blocs que Firewall Manager utilisera pour les sous-réseaux du pare-feu ou vous pouvez laisser à Firewall Manager le choix des adresses des points de terminaison du pare-feu.

  • Si vous ne fournissez pas de CIDR blocs, Firewall Manager vous VPCs demande les adresses IP disponibles à utiliser.

  • Si vous fournissez une liste de CIDR blocs, Firewall Manager recherche de nouveaux sous-réseaux uniquement dans les CIDR blocs que vous fournissez. Vous devez utiliser des CIDR blocs /28. Pour chaque sous-réseau de pare-feu créé, Firewall Manager parcourt votre liste de CIDR blocage et utilise le premier sous-réseau qui s'applique à la zone de disponibilité VPC et qui possède des adresses disponibles. Si Firewall Manager ne trouve pas d'espace libre dans le VPC (avec ou sans restriction), le service ne créera pas de pare-feu dans leVPC.

Si Firewall Manager ne parvient pas à créer le sous-réseau de pare-feu requis dans une zone de disponibilité, il marque le sous-réseau comme non conforme à la politique. Lorsque la zone est dans cet état, le trafic de la zone doit franchir les limites de la zone pour être filtré par un point de terminaison situé dans une autre zone. Ce scénario est similaire au scénario d'un sous-réseau de pare-feu unique.