Firewall Manager가 규정 미준수 관리형 네트워크를 해결하는 방법 ACLs

이 섹션에서는 Firewall Manager가 정책을 준수하지 않을 ACLs 때 관리형 네트워크를 수정하는 방법을 설명합니다. Firewall Manager는 FMManaged 태그ACLs가 로 설정된 관리형 네트워크만 수정합니다true. Firewall Manager에서 관리하지 ACLs 않는 네트워크는 섹션을 참조하세요초기 네트워크 ACL 관리.

수정은 첫 번째, 사용자 지정 및 마지막 규칙의 상대 위치를 복원하고 첫 번째 및 마지막 규칙의 순서를 복원합니다. 문제 해결 중에 Firewall Manager는 규칙을 네트워크 ACL 초기화에 사용하는 규칙 번호로 반드시 이동하지는 않습니다. 이러한 규칙 범주의 초기 숫자 설정 및 설명은 섹션을 참조하세요초기 네트워크 ACL 관리.

규정 준수 규칙 및 규칙 순서를 설정하려면 Firewall Manager가 네트워크 내부로 규칙을 이동해야 할 수 있습니다ACL. Firewall Manager는 기존 규정 준수 규칙 순서를 그대로 유지하여 네트워크 ACL보호를 최대한 유지합니다. 예를 들어 새 위치에 규칙을 일시적으로 복제한 다음 원래 규칙을 순서대로 제거하여 프로세스 중에 상대적 위치를 보존할 수 있습니다.

이 접근 방식은 설정을 보호하지만 임시 규칙을 ACL 위해 네트워크의 공간도 필요합니다. Firewall Manager가 네트워크의 규칙 한도에 도달ACL하면 수정이 중지됩니다. 이 경우 네트워크는 규정 준수를 벗어나ACL고 Firewall Manager는 이유를 보고합니다.

계정이 Firewall Manager에서 관리하는 네트워크에 사용자 지정 규칙을 추가하고 이러한 규칙이 Firewall Manager 수정을 방해ACL하는 경우 Firewall Manager는 네트워크에서 수정 활동을 중지ACL하고 충돌을 보고합니다.

강제 수정

정책에 대한 자동 수정을 선택하는 경우 첫 번째 규칙 또는 마지막 규칙에 대한 강제 수정을 지정할 수도 있습니다.

Firewall Manager에서 사용자 지정 규칙과 정책 규칙 간에 트래픽 처리가 충돌하는 경우 해당 강제 수정 설정을 참조합니다. 강제 수정이 활성화된 경우 Firewall Manager는 충돌에도 불구하고 수정을 적용합니다. 이 옵션을 활성화하지 않으면 Firewall Manager가 수정을 중지합니다. 어떤 경우든 Firewall Manager는 규칙 충돌을 보고하고 수정 옵션을 제공합니다.

규칙 수 요구 사항 및 제한 사항

문제 해결 중에 Firewall Manager는 규칙이 제공하는 보호를 변경하지 않고 규칙을 이동하기 위해 규칙을 일시적으로 복제할 수 있습니다.

인바운드 또는 아웃바운드 규칙의 경우 Firewall Manager가 문제 해결을 수행하는 데 필요할 수 있는 가장 많은 수의 규칙은 다음과 같습니다.

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

네트워크 ACLs 및 네트워크 ACL 정책에는 변경 가능한 규칙 제한이 적용됩니다. Firewall Manager가 문제 해결 노력의 제한에 도달하면 문제 해결 시도를 중단하고 규정 미준수를 보고합니다.

Firewall Manager가 수정 작업을 수행할 수 있는 공간을 확보하려면 한도 증가를 요청할 수 있습니다. 또는 정책 또는 네트워크의 구성을 변경ACL하여 사용되는 규칙 수를 줄일 수 있습니다.

네트워크 ACL 제한에 대한 자세한 내용은 Amazon 사용 설명서의 네트워크 Amazon VPC 할당량을 ACLs 참조하세요. VPC

수정 실패 시

네트워크를 업데이트하는 동안 어떤 이유로든 Firewall Manager를 중지해야 하는 ACL경우 변경 사항을 롤백하지 않고 대신 네트워크를 ACL 임시 상태로 둡니다. FMManaged 태그가 로 설정된 네트워크에서 중복 규칙ACL이 표시되는 경우 trueFirewall Manager가 해당 규칙을 수정하는 중일 수 있습니다. 일정 기간 동안 변경 사항이 부분적으로 완료될 수 있지만 Firewall Manager가 문제를 해결하기 위해 취하는 접근 방식으로 인해 트래픽을 중단하거나 연결된 서브넷에 대한 보호를 줄이지 않습니다.

Firewall Manager가 규정을 준수하지 ACLs 않는 네트워크를 완전히 수정하지 못하면 연결된 서브넷에 대한 규정 미준수를 보고하고 가능한 수정 옵션을 제안합니다.

수정 실패 후 재시도

대부분의 경우 Firewall Manager가 네트워크 에 대한 수정 변경을 완료하지 못하면 ACL결국 변경을 다시 시도합니다.

이에 대한 예외는 복구가 네트워크 ACL 규칙 수 제한 또는 VPC 네트워크 ACL 수 제한에 도달하는 경우입니다. Firewall Manager는 제한 설정을 초과하는 AWS 리소스를 가져오는 수정 활동을 수행할 수 없습니다. 이러한 경우 계속하려면 수를 줄이거나 한도를 늘려야 합니다. 제한에 대한 자세한 내용은 Amazon 사용 설명서의 네트워크 Amazon VPC 할당량을 ACLs 참조하세요. VPC

Firewall Manager 네트워크 ACL 규정 준수 보고

Firewall ManagerACLs는 범위 내 서브넷에 연결된 모든 네트워크의 규정 준수를 모니터링하고 보고합니다.

일반적으로 규정 미준수는 잘못된 규칙 순서 또는 정책 규칙과 사용자 지정 규칙 간의 트래픽 처리 동작 충돌과 같은 상황에서 발생합니다. 규정 미준수 보고에는 규정 준수 위반 및 수정 옵션이 포함됩니다.

Firewall Manager는 다른 ACL 정책 유형과 동일한 방식으로 네트워크 정책에 대한 규정 준수 위반을 보고합니다. 규정 준수 보고에 대한 자세한 내용은 섹션을 참조하세요AWS Firewall Manager 정책에 대한 규정 준수 정보 보기.

정책 업데이트 중 규정 미준수

네트워크 ACL 정책을 수정한 후 Firewall Manager가 정책 범위에 ACLs 속하는 네트워크를 업데이트할 때까지 Firewall Manager는 해당 네트워크를 ACLs 미준수로 표시합니다. Firewall Manager는 네트워크가 엄격하게 말할 ACLs 수 있더라도 이를 수행합니다.

예를 들어 정책 사양에서 규칙을 제거하는 경우 범위 내 네트워크에 추가 규칙이 ACLs 있는 경우 해당 규칙 정의가 정책을 준수할 수 있습니다. 그러나 추가 규칙은 Firewall Manager가 관리하는 규칙의 일부이므로 Firewall Manager는 이를 현재 정책 설정의 위반으로 간주합니다. 이는 Firewall Manager가 Firewall Manager 관리형 네트워크 에 추가하는 사용자 지정 규칙을 보는 방식과 다릅니다ACLs.