As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Firewall Manager corrige a rede gerenciada não compatível ACLs
Esta seção descreve como o Firewall Manager corrige sua rede gerenciada ACLs quando não está em conformidade com a política. O Firewall Manager corrige somente a rede gerenciada ACLs — com a FMManaged tag definida como. true Para redes ACLs que não são gerenciadas pelo Firewall Manager, consulteACLGerenciamento inicial da rede.
A remediação restaura as localizações relativas da primeira, da personalizada e da última regra e restaura a ordenação da primeira e da última regras. Durante a correção, o Firewall Manager não necessariamente moverá as regras para os números de regras que ele usa na ACL inicialização da rede. Para obter as configurações numéricas iniciais e as descrições dessas categorias de regras, consulteACLGerenciamento inicial da rede.
Para estabelecer regras compatíveis e ordenar regras, o Firewall Manager pode precisar mover as regras dentro da rede. ACL Tanto quanto possível, o Firewall Manager preserva as proteções ACL da rede mantendo a ordem de regras compatível existente enquanto faz isso. Por exemplo, ele pode duplicar temporariamente as regras em novos locais e, em seguida, realizar uma remoção ordenada das regras originais, preservando os locais relativos durante o processo.
Essa abordagem protege suas configurações, mas também requer espaço na rede ACL para as regras provisórias. Se o Firewall Manager atingir o limite de regras em uma redeACL, ele interromperá a remediação. Quando isso acontece, a rede ACL permanece fora de conformidade e o Firewall Manager relata o motivo.
Se uma conta adiciona regras personalizadas a uma rede ACL gerenciada pelo Firewall Manager e essas regras interferem na remediação do Firewall Manager, o Firewall Manager interrompe todas as atividades de remediação na rede ACL e relata o conflito.
Remediação forçada
Se você escolher a correção automática para a política, você também especifica se deseja forçar a remediação para as primeiras regras ou as últimas regras.
Quando o Firewall Manager encontra um conflito no tratamento do tráfego entre uma regra personalizada e uma regra de política, ele se refere à configuração de remediação forçada correspondente. Se a remediação forçada estiver ativada, o Firewall Manager aplicará a correção, apesar do conflito. Se essa opção não estiver ativada, o Firewall Manager interromperá a correção. Em ambos os casos, o Firewall Manager relata o conflito de regras e oferece opções de remediação.
Requisitos e limitações da contagem de regras
Durante a remediação, o Firewall Manager pode duplicar temporariamente as regras para movê-las sem alterar as proteções que elas fornecem.
Para regras de entrada ou saída, o maior número de regras que o Firewall Manager pode exigir para realizar a correção é o seguinte:
2 * (the number of rules defined in the policy for the traffic direction) + the number of custom rules defined in the network ACL for the traffic direction
A rede ACLs e ACL as políticas de rede são limitadas por limites de regras mutáveis. Se o Firewall Manager atingir um limite em seus esforços de remediação, ele para de tentar remediar e relata a não conformidade.
Para abrir espaço para o Firewall Manager realizar suas atividades de remediação, você pode solicitar um aumento de limite. Como alternativa, você pode alterar a configuração na política ou na rede ACL para reduzir o número de regras usadas.
Para obter informações sobre os ACL limites da rede, consulte as VPCcotas da Amazon na rede ACLs no Guia do VPC usuário da Amazon.
Quando a remediação falha
Ao atualizar uma redeACL, se o Firewall Manager precisar parar por algum motivo, ele não reverterá as alterações, mas deixará a rede ACL em um estado provisório. Se você ver regras duplicadas em uma rede ACL que tem a FMManaged tag definida comotrue, o Firewall Manager provavelmente está no meio da correção. As alterações podem ficar parcialmente concluídas por um período, mas devido à abordagem adotada pelo Firewall Manager para remediação, isso não interromperá o tráfego nem reduzirá a proteção das sub-redes associadas.
Quando o Firewall Manager não corrige completamente as redes ACLs que estão fora de conformidade, ele relata a não conformidade das sub-redes associadas e sugere possíveis opções de correção.
Tentando novamente após a falha na correção
Na maioria dos casos, se o Firewall Manager falhar em concluir as alterações de remediação em uma redeACL, ele acabará por tentar a alteração novamente.
A exceção é quando a remediação atinge o limite de contagem de ACL regras de rede ou o limite de ACL contagem VPC de rede. O Firewall Manager não pode realizar atividades de remediação que consumam AWS recursos acima de suas configurações de limite. Nesses casos, você precisa reduzir as contagens ou aumentar os limites para continuar. Para obter informações sobre os limites, consulte as VPCcotas da Amazon na rede ACLs no Guia do VPC usuário da Amazon.
Relatórios de ACL conformidade de rede do Firewall Manager
O Firewall Manager monitora e relata a conformidade de todas ACLs as redes conectadas às sub-redes dentro do escopo.
De um modo geral, a não conformidade ocorre em situações como ordenação incorreta de regras ou conflito no comportamento de tratamento de tráfego entre regras de política e regras personalizadas. Os relatórios de não conformidade incluem violações de conformidade e opções de remediação.
O Firewall Manager reporta violações de conformidade para uma ACL política de rede da mesma forma que para outros tipos de política. Para obter informações sobre relatórios de conformidade, consulteVisualizando as informações de conformidade de uma AWS Firewall Manager política.
Não conformidade durante atualizações de políticas
Depois de modificar uma ACL política de rede, até que o Firewall Manager atualize a rede ACLs que está no escopo da política, o Firewall Manager marca essas redes como ACLs não compatíveis. O Firewall Manager faz isso mesmo que a rede ACLs esteja, estritamente falando, em conformidade.
Por exemplo, se você remover as regras da especificação da política, enquanto a rede dentro do escopo ACLs ainda tiver as regras extras, suas definições de regras ainda poderão estar em conformidade com a política. No entanto, como as regras extras fazem parte das regras que o Firewall Manager está gerenciando, o Firewall Manager as vê como violações das configurações atuais da política. Isso é diferente de como o Firewall Manager visualiza as regras personalizadas que você adiciona à rede gerenciada do Firewall ManagerACLs.
