Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana Firewall Manager memulihkan jaringan terkelola yang tidak patuh ACLs
Bagian ini menjelaskan cara Firewall Manager memulihkan jaringan terkelolanya ACLs ketika mereka tidak mematuhi kebijakan. Firewall Manager hanya memperbaiki jaringan terkelola ACLs —dengan FMManaged tag disetel ke. true Untuk jaringan ACLs yang tidak dikelola oleh Firewall Manager, lihatACLManajemen jaringan awal.
Remediasi mengembalikan lokasi relatif dari aturan pertama, kustom, dan terakhir dan mengembalikan pemesanan untuk aturan pertama dan terakhir. Selama remediasi, Firewall Manager tidak akan selalu memindahkan aturan ke nomor aturan yang digunakan dalam ACL inisialisasi jaringan. Untuk pengaturan nomor awal dan deskripsi kategori aturan ini, lihatACLManajemen jaringan awal.
Untuk menetapkan aturan dan urutan aturan yang sesuai, Firewall Manager mungkin perlu memindahkan aturan di dalam jaringanACL. Sebisa mungkin, Firewall Manager mempertahankan perlindungan jaringan ACL dengan mempertahankan urutan aturan yang sesuai seperti yang dilakukan. Misalnya, mungkin sementara menduplikasi aturan ke lokasi baru, dan kemudian melakukan penghapusan urutan aturan asli, menjaga lokasi relatif selama proses.
Pendekatan ini melindungi pengaturan Anda, tetapi juga membutuhkan ruang di jaringan ACL untuk aturan sementara. Jika Firewall Manager mencapai batas untuk aturan dalam jaringanACL, itu akan menghentikan remediasi. Ketika ini terjadi, jaringan ACL tetap tidak sesuai dan Firewall Manager melaporkan alasannya.
Jika akun menambahkan aturan khusus ke jaringan ACL yang dikelola oleh Firewall Manager, dan aturan tersebut mengganggu remediasi Firewall Manager, Firewall Manager menghentikan aktivitas remediasi apa pun di jaringan ACL dan melaporkan konflik.
Remediasi paksa
Jika Anda memilih remediasi otomatis untuk kebijakan tersebut, Anda juga menentukan apakah akan memaksa remediasi untuk aturan pertama atau aturan terakhir.
Ketika Firewall Manager menghadapi konflik dalam penanganan lalu lintas antara aturan kustom dan aturan kebijakan, itu mengacu pada pengaturan remediasi paksa yang sesuai. Jika remediasi paksa diaktifkan, Firewall Manager menerapkan remediasi, terlepas dari konflik. Jika opsi ini tidak diaktifkan, Firewall Manager menghentikan remediasi. Dalam kedua kasus tersebut, Firewall Manager melaporkan konflik aturan dan menawarkan opsi perbaikan.
Persyaratan dan batasan jumlah aturan
Selama remediasi, Firewall Manager mungkin sementara menduplikasi aturan untuk memindahkannya tanpa mengubah perlindungan yang mereka berikan.
Untuk aturan masuk atau keluar, jumlah aturan terbesar yang mungkin diperlukan oleh Manajer Firewall untuk melakukan remediasi adalah sebagai berikut:
2 * (the number of rules defined in the policy for the traffic direction) + the number of custom rules defined in the network ACL for the traffic direction
ACLKebijakan jaringan ACLs dan jaringan terikat oleh batas aturan yang dapat berubah. Jika Firewall Manager mencapai batas dalam upaya remediasi, ia berhenti mencoba untuk memulihkan dan melaporkan ketidakpatuhan.
Untuk memberi ruang bagi Firewall Manager untuk melakukan aktivitas remediasi, Anda dapat meminta peningkatan batas. Sebagai alternatif, Anda dapat mengubah konfigurasi dalam kebijakan atau jaringan ACL untuk mengurangi jumlah aturan yang digunakan.
Untuk informasi tentang ACL batas jaringan, lihat VPCKuota Amazon di jaringan ACLs di Panduan VPC Pengguna Amazon.
Ketika remediasi gagal
Saat memperbarui jaringanACL, jika Firewall Manager perlu berhenti karena alasan apa pun, itu tidak mengembalikan perubahan, melainkan meninggalkan jaringan ACL dalam keadaan sementara. Jika Anda melihat aturan duplikat di jaringan ACL yang memiliki FMManaged tag yang disetel ketrue, Firewall Manager mungkin sedang memperbaiki itu. Perubahan mungkin sebagian selesai untuk suatu periode, tetapi karena pendekatan yang dilakukan Firewall Manager untuk remediasi, ini tidak akan mengganggu lalu lintas atau mengurangi perlindungan untuk subnet terkait.
Ketika Firewall Manager tidak sepenuhnya memulihkan jaringan ACLs yang tidak sesuai, ia melaporkan ketidakpatuhan untuk subnet terkait dan menyarankan kemungkinan opsi remediasi.
Mencoba lagi setelah remediasi gagal
Dalam kebanyakan kasus, jika Firewall Manager gagal menyelesaikan perubahan remediasi ke jaringanACL, pada akhirnya akan mencoba kembali perubahan tersebut.
Pengecualian untuk ini adalah ketika remediasi mencapai batas jumlah ACL aturan jaringan atau batas ACL jumlah VPC jaringan. Firewall Manager tidak dapat melakukan aktivitas remediasi yang mengambil AWS sumber daya melebihi pengaturan batasnya. Dalam kasus ini, Anda perlu mengurangi jumlah atau menambah batas untuk melanjutkan. Untuk informasi tentang batasan, lihat VPCKuota Amazon di jaringan ACLs di Panduan VPC Pengguna Amazon.
Pelaporan ACL kepatuhan jaringan Firewall Manager
Firewall Manager memantau dan melaporkan kepatuhan untuk semua jaringan ACLs yang dilampirkan ke subnet dalam lingkup.
Secara umum, ketidakpatuhan terjadi untuk situasi seperti urutan aturan yang salah atau konflik dalam perilaku penanganan lalu lintas antara aturan kebijakan dan aturan khusus. Pelaporan ketidakpatuhan mencakup pelanggaran kepatuhan dan opsi perbaikan.
Firewall Manager melaporkan pelanggaran kepatuhan untuk ACL kebijakan jaringan dengan cara yang sama seperti jenis kebijakan lainnya. Untuk informasi tentang pelaporan kepatuhan, lihatMelihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan.
Ketidakpatuhan selama pembaruan kebijakan
Setelah Anda mengubah ACL kebijakan jaringan, hingga Firewall Manager memperbarui jaringan ACLs yang berada dalam cakupan kebijakan, Firewall Manager menandai jaringan tersebut ACLs tidak patuh. Firewall Manager melakukan ini bahkan jika jaringan ACLs mungkin, secara tegas, mematuhi.
Misalnya, jika Anda menghapus aturan dari spesifikasi kebijakan, sementara jaringan dalam lingkup ACLs masih memiliki aturan tambahan, definisi aturan mereka mungkin masih mematuhi kebijakan. Namun, karena aturan tambahan adalah bagian dari aturan yang dikelola oleh Firewall Manager, Firewall Manager melihatnya sebagai pelanggaran pengaturan kebijakan saat ini. Ini berbeda dengan cara Firewall Manager melihat aturan khusus yang Anda tambahkan ke jaringan terkelola Firewall ManagerACLs.
