In che modo Firewall Manager corregge una rete gestita non conforme ACLs

Questa sezione descrive come Firewall Manager corregge la rete gestita ACLs quando non è conforme alla policy. Firewall Manager corregge solo la rete gestitaACLs, con il FMManaged tag impostato su. true Per le reti ACLs che non sono gestite da Firewall Manager, vedereGestione iniziale della rete ACL.

La riparazione ripristina le posizioni relative della prima, della regola personalizzata e dell'ultima regola e ripristina l'ordine della prima e dell'ultima regola. Durante la riparazione, Firewall Manager non sposterà necessariamente le regole sui numeri di regola utilizzati nell'ACLinizializzazione della rete. Per le impostazioni iniziali dei numeri e le descrizioni di queste categorie di regole, vedere. Gestione iniziale della rete ACL

Per stabilire regole e ordinamento conformi, Firewall Manager potrebbe dover spostare le regole all'interno della rete. ACL Per quanto possibile, Firewall Manager preserva le protezioni ACL della rete mantenendo l'ordine delle regole conforme esistente a tale scopo. Ad esempio, potrebbe duplicare temporaneamente le regole in nuove posizioni e quindi eseguire una rimozione ordinata delle regole originali, preservando le posizioni relative durante il processo.

Questo approccio protegge le impostazioni, ma richiede anche spazio nella rete ACL per le regole provvisorie. Se Firewall Manager raggiunge il limite per le regole in una reteACL, interromperà la riparazione. Quando ciò accade, la rete non ACL è conforme e Firewall Manager ne segnala il motivo.

Se un account aggiunge regole personalizzate a una rete ACL gestita da Firewall Manager e tali regole interferiscono con la riparazione di Firewall Manager, Firewall Manager interrompe tutte le attività di riparazione sulla rete ACL e segnala il conflitto.

Riparazione forzata

Se si sceglie la riparazione automatica per la politica, si specifica anche se forzare la riparazione per le prime o le ultime regole.

Quando Firewall Manager rileva un conflitto nella gestione del traffico tra una regola personalizzata e una regola di policy, fa riferimento alla corrispondente impostazione di riparazione forzata. Se la riparazione forzata è abilitata, Firewall Manager applica la riparazione, nonostante il conflitto. Se questa opzione non è abilitata, Firewall Manager interrompe la riparazione. In entrambi i casi, Firewall Manager segnala il conflitto di regole e offre opzioni di correzione.

Requisiti e limiti relativi al numero di regole

Durante la riparazione, Firewall Manager potrebbe duplicare temporaneamente le regole per spostarle senza alterare le protezioni fornite.

Per le regole in entrata o in uscita, il maggior numero di regole che Firewall Manager potrebbe richiedere per eseguire la correzione è il seguente:

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Le ACL politiche di rete ACLs e di rete sono vincolate da limiti di regole modificabili. Se Firewall Manager raggiunge un limite nelle sue attività di riparazione, interrompe i tentativi di correzione e segnala la non conformità.

Per fare spazio a Firewall Manager per svolgere le proprie attività di riparazione, è possibile richiedere un aumento del limite. In alternativa, è possibile modificare la configurazione della politica o della rete ACL per ridurre il numero di regole utilizzate.

Per informazioni sui ACL limiti di rete, consulta le VPCquote Amazon sulla rete ACLs nella Amazon VPC User Guide.

Quando la riparazione fallisce

Durante l'aggiornamento di una reteACL, se Firewall Manager deve interrompersi per qualsiasi motivo, non ripristina le modifiche, ma lascia la rete ACL in uno stato provvisorio. Se vedi regole duplicate in una rete con il FMManaged tag impostato sutrue, è probabile ACL che Firewall Manager stia risolvendo il problema. Le modifiche potrebbero essere parzialmente complete per un periodo, ma grazie all'approccio adottato da Firewall Manager per la riparazione, questa non interromperà il traffico né ridurrà la protezione delle sottoreti associate.

Quando Firewall Manager non corregge completamente le reti ACLs che non sono conformi, segnala la non conformità per le sottoreti associate e suggerisce possibili opzioni di riparazione.

Riprovare dopo un errore di riparazione

Nella maggior parte dei casi, se Firewall Manager non riesce a completare le modifiche correttive apportate a una reteACL, alla fine riproverà a eseguire la modifica.

L'eccezione si verifica quando la riparazione raggiunge il limite di numero delle ACL regole di rete o il limite di conteggio della VPC reteACL. Firewall Manager non è in grado di eseguire attività di riparazione che richiedono AWS risorse oltre i limiti impostati. In questi casi, è necessario ridurre i conteggi o aumentare i limiti per procedere. Per informazioni sui limiti, consulta le VPCquote Amazon sulla rete ACLs nella Amazon VPC User Guide.

Report sulla ACL conformità della rete Firewall Manager

Firewall Manager monitora e segnala la conformità per tutte le reti ACLs collegate alle sottoreti interne all'ambito.

In generale, la non conformità si verifica in situazioni quali un ordine errato delle regole o un conflitto nel comportamento di gestione del traffico tra regole politiche e regole personalizzate. La segnalazione di non conformità include le violazioni della conformità e le opzioni di riparazione.

Firewall Manager segnala le violazioni della conformità per una ACL politica di rete allo stesso modo degli altri tipi di policy. Per informazioni sulla segnalazione della conformità, vedereVisualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica.

Non conformità durante gli aggiornamenti delle politiche

Dopo aver modificato una ACL politica di rete, fino a quando Firewall Manager non aggiorna la rete ACLs che rientra nell'ambito della politica, Firewall Manager contrassegna tale rete come ACLs non conforme. Firewall Manager esegue questa operazione anche se la rete ACLs potrebbe, a rigor di termini, essere conforme.

Ad esempio, se si rimuovono le regole dalle specifiche della politica, mentre la rete interessata ha ACLs ancora regole aggiuntive, le relative definizioni delle regole potrebbero comunque essere conformi alla politica. Tuttavia, poiché le regole aggiuntive fanno parte delle regole gestite da Firewall Manager, Firewall Manager le considera violazioni delle impostazioni dei criteri correnti. Questo è diverso dal modo in cui Firewall Manager visualizza le regole personalizzate aggiunte alla rete gestita di Firewall ManagerACLs.