本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Firewall Manager 如何管理和监控策略的VPC路由表
本节介绍 Firewall Manager 如何管理和监控您的VPC路由表。
注意
使用集中部署模型的策略目前不支持路由表管理。
当 Firewall Manager 创建您的防火墙终端节点时,它还会为它们创建VPC路由表。但是,Firewall Manager 不管理您的VPC路由表。必须将VPC路由表配置为将网络流量定向到 Firewall Manager 创建的防火墙端点。使用 Amazon VPC 入口路由增强功能,更改您的路由表,将流量路由到新的防火墙终端节点。您的更改必须在要保护的子网和外部位置之间插入防火墙端点。您需要执行的确切路由取决于您的架构及其组件。
当前,Firewall Manager 允许监控您的VPC路由表路由,以查看任何绕过防火墙的流向 Internet 网关的流量。Firewall Manager 不支持其他目标网关,例如NAT网关。
有关管理您的路由表的信息VPC,请参阅《Amazon Virtual Private Cloud 用户指南》VPC中的管理您的路由表。有关管理 Network Firewall 路由表的信息,请参阅 AWS Network Firewall 开发人员指南中的 AWS Network Firewall的路由表配置。
启用策略监控后,Firewall Manager 会持续监控VPC路由配置,并提醒您注意绕过防火墙检查的VPC流量。如果子网有防火墙端点路由,Firewall Manager 会查找以下路由:
-
将流量发送至 Network Firewall 端点的路由。
-
用于将流量从 Network Firewall 端点转发到互联网网关的路由。
-
从互联网网关到 Network Firewall 端点的入站路由。
-
来自防火墙子网的路由。
如果子网有网络防火墙路由,但网络防火墙和您的互联网网关路由表中存在非对称路由,Firewall Manager 会将该子网报告为不合规。Firewall Manager 还会在 Firewall Manager 创建的防火墙路由表以及子网的路由表中检测到互联网网关的路由,并将其报告为不合规。Network Firewall 子网路由表和您的互联网网关路由表中的其他路由也被报告为不合规。根据违规类型,Firewall Manager 会建议采取修正措施,使路由配置合规。Firewall Manager 并非在所有情况下都提供建议。例如,如果您的客户子网中有一个在 Firewall Manager 之外创建的防火墙端点,则 Firewall Manager 不会建议采取修正措施。
默认情况下,Firewall Manager 会将所有跨可用区边界以供检查的流量标记为不合规。但是,如果您选择在中自动创建单个终端节点VPC,Firewall Manager 不会将跨越可用区边界的流量标记为不合规。
对于使用带有自定义端点配置的分布式部署模型的策略,您可以选择将从没有防火墙端点的可用区跨可用区边界的流量标记为合规或不合规。
注意
-
Firewall Manager 不建议对非IPv4路由(例如IPv6和前缀列表路由)采取补救措施。
-
使用该
DisassociateRouteTable
API呼叫进行的呼叫最多可能需要 12 小时才能被检测到。 -
Firewall Manager 为包含防火墙端点的子网创建网络防火墙路由表。Firewall Manager 假设此路由表仅包含有效的 Internet 网关和VPC默认路由。此路由表中的任何额外或无效路由都被视为不合规。
在配置 Firewall Manager 策略时,如果选择监控模式,Firewall Manager 将提供有关您的资源的资源违规和修正详细信息。您可以使用这些建议的修正措施来修正路由表中的路由问题。如果您选择关闭模式,Firewall Manager 不会为您监控您的路由表内容。使用此选项,您可以自己管理VPC路由表。有关这些资源违规行为的更多信息,请参阅 查看 AWS Firewall Manager 策略的合规性信息。
警告
如果您在创建策略时在 “ AWS Network Firewall 路由配置” 下选择 “监控”,则无法为该策略将其关闭。但是,如果您选择关闭,则可以稍后再启用该配置。