选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

将 Amazon VPC 网络访问控制列表(ACL)策略与 Firewall Manager 配合使用

PDF
RSS
聚焦模式
将 Amazon VPC 网络访问控制列表(ACL)策略与 Firewall Manager 配合使用 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
最佳实践警告

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本节介绍 AWS Firewall Manager 网络 ACL 策略的工作原理,并提供使用这些策略的指导。有关使用控制台创建网络 ACL 策略的指南,请参阅 创建网络 ACL 策略

有关 Amazon VPC 网络访问控制列表 (ACLs) 的信息,请参阅 A mazon VPC 用户指南ACLs中的使用网络控制子网的流量

您可以使用 Firewall Manager 网络 ACL 策略来管理您的组织的亚马逊虚拟私有云(亚马逊 VPCACLs)网络访问控制列表 () AWS Organizations。您可以定义策略的网络 ACL 规则设置,以及想在其中执行此种设置的账户和子网。在整个组织内添加或更新账户和子网时,Firewall Manager 会持续将您的策略设置应用于这些账户和子网。有关策略范围和的信息 AWS Organizations,请参阅使用 AWS Firewall Manager 策略范围和《AWS Organizations 用户指南》

在定义 Firewall Manager 网络 ACL 策略时,除了标准的 Firewall Manager 策略设置(例如名称和范围)外,还需要提供以下内容:

  • 处理入站和出站流量的第一条和最后一条规则。Firewall Manager 强制在网络 ACLs 中存在和排列策略范围内的此类内容,或者报告不合规行为。您的个人账户可以创建在策略的第一条和最后一条规则之间运行的自定义规则。

  • 当修复会导致网络 ACL 中的规则之间产生流量管理冲突时,是否强制修复。这仅在为策略启用修复时适用。

使用 Firewall Manager 网络 ACL 策略的最佳实践

本节列出了有关使用 Firewall Manager 网络 ACL 策略和托管网络的建议 ACLs。

参考FMManaged标签以识别由 Firewall Manager 管理的网络 ACLs

Firew ACLs all Manager 管理的网络的FMManaged标签设置为true。使用此标签可以帮助将您自己的自定义网络与通过 Firew ACLs all Manager 管理的自定义网络区分开来。

不要修改网络 ACL 上的 FMManaged 标签的值

Firewall Manager 使用此标签设置和确定其对网络 ACL 的管理状态。

不要修改具有 Firewall Manager 托管网络的子网的关联 ACLs

请勿手动更改您的子网与 Firewall Manager 管理 ACLs 的任何网络之间的关联。否则 Firewall Manager 无法管理这些子网的保护措施。您可以通过查找 Firew ACLs all Manager 的FMManaged标签设置来识别由 Firewall Manager 管理的网络true

要从 Firewall Manager 策略管理中移除子网,应使用 Firewall Manager 策略范围设置来排除该子网。例如,您可以标记子网,然后将此标签排除在策略范围之外。有关更多信息,请参阅 使用 AWS Firewall Manager 策略范围

更新托管网络 ACL 时,不要修改 Firewall Manager 管理的规则

在 Firewall Manager 管理的网络 ACL 中,遵照 在 Firewall Manager 中使用网络 ACL 规则和标记 中描述的编号方案,将您的自定义规则与此种策略规则隔开。仅添加或修改数字介于 5,000 和 32,000 之间的规则。

避免为账户限额添加太多规则

在修复网络 ACL 期间,Firewall Manager 通常会临时增大网络 ACL 规则计数。为避免出现不合规问题,请确保为正在使用的规则留有足够空间。有关更多信息,请参阅 Firewall Manager 如何修复不合规的托管网络 ACLs

首先禁用自动修正

先从禁用自动修复开始,然后查看策略详细信息以确定自动修正可能产生哪些影响。在您确定进行了所需的更改时,请编辑策略以启用自动修正。

Firewall Manager 网络 ACL 策略的注意事项

本节列出了使用 Firewall Manager 网络 ACL 策略的注意事项和限制。

  • 更新时间比其他策略慢 — 由于 Amazon 网络 ACL 处理请求的速度有限,Firewall Manager 应用 EC2 网络 ACL APIs 策略和策略更改的速度通常比其他防火墙管理器策略要慢。您可能会注意到,策略更改花费的时间要长于其他 Firewall Manager 策略进行的类似更改,尤其是在首次添加策略时。

  • 对于子网初始保护,Firewall Manager 首选旧的策略:这仅适用于尚未得到 Firewall Manager 网络 ACL 策略保护的子网。如果一个子网同时属于多个网络 ACL 策略的范围,则 Firewall Manager 使用最旧的策略来保护此子网。

  • 策略停止保护子网的原因:管理子网的网络 ACL 的策略保留管理能力,直到发生以下情况之一:

    • 子网超出了策略的范围。

    • 策略已删除。

    • 您可以手动更改子网与由其他 Firewall Manager 策略进行管理且子网在其范围内的网络 ACL 的关联。

主题

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。