本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Firewall Manager 如何管理您的防火墙子网
本节介绍 Firewall Manager 如何管理您的防火墙子网。
防火墙子网是 Firew VPC all Manager 为过滤网络流量的防火墙端点创建的子网。每个防火墙端点都必须部署在专用子VPC网中。Firewall Manager 在每个VPC子网中至少创建一个策略范围内的防火墙子网。
对于使用分布式部署模型和自动端点配置的策略,Firewall Manager 仅在可用区域中创建防火墙子网,这些子网的子网带有互联网网关路由,或者子网具有通往 Firewall Manager 为其策略创建的防火墙端点的路由。有关更多信息,请参阅 Amazon VPC 用户指南中的VPCs和子网。
对于使用分布式或集中式模式(您指定 Firewall Manager 在哪个可用区中创建防火墙端点)的策略,无论可用区中是否有其他资源,Firewall Manager 都会在这些特定的可用区中创建一个端点。
首次定义 Network Firewall 策略时,需要指定 Firewall Manager 如何管理范围内每个子网中的防火墙子网。VPCs此后您不能对此选项进行更改。
对于使用分布式部署模型和自动端点配置的策略,您可以在以下选项中进行选择:
-
为每个具有公有子网的可用区部署防火墙子网。这是默认行为。这为您的流量过滤保护提供了高可用性。
-
在一个可用区中部署单个防火墙子网。通过此选项,Firewall Manager VPC 可以识别出公有子网最多的区域,并在那里创建防火墙子网。单个防火墙端点可过滤所有网络流量VPC。这种方式可以降低防火墙成本,但其可用性不高,需要来自其他区域的流量才能跨越区域边界,以实现过滤。
对于使用带有自定义端点配置的分布式部署模型或集中式部署模型的策略,Firewall Manager 会在策略范围内的指定可用区中创建子网。
您可以为防火墙管理器提供VPCCIDR块以用于防火墙子网,也可以将防火墙端点地址的选择留给防火墙管理器来决定。
-
如果你不提供CIDR屏蔽,Firewall Manager 会向你查询VPCs可供使用的可用 IP 地址。
-
如果您提供CIDR区块列表,Firewall Manager 将仅在您提供的CIDR区块中搜索新的子网。你必须使用 /28 个CIDR方块。对于 Firewall Manager 创建的每个防火墙子网,它都会遍历您的CIDR阻止列表并使用它找到的第一个适用于可用区VPC且具有可用地址的子网。如果 Firewall Manager 无法在中找到开放空间VPC(有或没有限制),则该服务将不会在中创建防火墙VPC。
如果 Firewall Manager 无法在可用区中创建所需的防火墙子网,则会将该子网标记为不符合策略。当该区域处于这种状态时,该区域的流量必须跨越区域边界,才能被其他区域中的端点过滤。这与单防火墙子网场景类似。