将 Amazon VPC 网络访问控制列表(ACL)策略与 Firewall Manager 配合使用 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
最佳实践警告

将 Amazon VPC 网络访问控制列表(ACL)策略与 Firewall Manager 配合使用

本节介绍了 AWS Firewall Manager 网络 ACL 策略的工作方式,并提供了使用这些策略的指南。有关使用控制台创建网络 ACL 策略的指南,请参阅 创建网络 ACL 策略

有关 Amazon VPC 网络访问控制列表 (ACL) 的信息,请参阅《Amazon VPC 用户指南》中的使用网络 ACL 控制指向子网的流量

您可以使用 Firewall Manager 网络 ACL 策略,在 AWS Organizations 中管理贵组织的 Amazon Virtual Private Cloud (Amazon VPC) 网络访问控制列表 (ACL)。您可以定义策略的网络 ACL 规则设置,以及想在其中执行此种设置的账户和子网。在整个组织内添加或更新账户和子网时,Firewall Manager 会持续将您的策略设置应用于这些账户和子网。有关策略范围和 AWS Organizations 的信息,请参阅 使用 AWS Firewall Manager 策略范围《AWS Organizations 用户指南》

在定义 Firewall Manager 网络 ACL 策略时,除了标准的 Firewall Manager 策略设置(例如名称和范围)外,还需要提供以下内容:

  • 处理入站和出站流量的第一条和最后一条规则。Firewall Manager 在策略范围内的网络 ACL 中强制这些规则的存在和排序,或者报告规则不合规。您的个人账户可以创建在策略的第一条和最后一条规则之间运行的自定义规则。

  • 当修复会导致网络 ACL 中的规则之间产生流量管理冲突时,是否强制修复。这仅在为策略启用修复时适用。

使用 Firewall Manager 网络 ACL 策略的最佳实践

本节列出了使用 Firewall Manager 网络 ACL 策略和托管网络 ACL 的相关建议。

请参阅 FMManaged 标签识别 Firewall Manager 管理的网络 ACL

Firewall Manager 管理的网络 ACL 将 FMManaged 标签设置为 true。使用此标签有助于区分您自己的自定义网络 ACL 与您通过 Firewall Manager 管理的网络 ACL。

不要修改网络 ACL 上的 FMManaged 标签的值

Firewall Manager 使用此标签设置和确定其对网络 ACL 的管理状态。

不要修改具有 Firewall Manager 托管网络 ACL 的子网的关联

不要手动更改子网与 Firewall Manager 管理的任何网络 ACL 之间的关联。否则 Firewall Manager 无法管理这些子网的保护措施。您可以通过查找值为 trueFMManaged 标签设置来识别 Firewall Manager 管理的网络 ACL。

要从 Firewall Manager 策略管理中移除子网,应使用 Firewall Manager 策略范围设置来排除该子网。例如,您可以标记子网,然后将此标签排除在策略范围之外。有关更多信息,请参阅 使用 AWS Firewall Manager 策略范围

更新托管网络 ACL 时,不要修改 Firewall Manager 管理的规则

在 Firewall Manager 管理的网络 ACL 中,遵照 在 Firewall Manager 中使用网络 ACL 规则和标记 中描述的编号方案,将您的自定义规则与此种策略规则隔开。仅添加或修改数字介于 5,000 和 32,000 之间的规则。

避免为账户限额添加太多规则

在修复网络 ACL 期间,Firewall Manager 通常会临时增大网络 ACL 规则计数。为避免出现不合规问题,请确保为正在使用的规则留有足够空间。有关更多信息,请参阅 Firewall Manager 如何修复不合规的托管网络 ACL

首先禁用自动修正

先从禁用自动修复开始,然后查看策略详细信息以确定自动修正可能产生哪些影响。在您确定进行了所需的更改时,请编辑策略以启用自动修正。

Firewall Manager 网络 ACL 策略的注意事项

本节列出了使用 Firewall Manager 网络 ACL 策略的注意事项和限制。

  • 更新时间慢于其他策略 - 由于 Amazon EC2 网络 ACL API 能够处理请求的速度有限,Firewall Manager 应用网络 ACL 策略和策略更改的速度通常要慢于其他 Firewall Manager 策略。您可能会注意到,策略更改花费的时间要长于其他 Firewall Manager 策略进行的类似更改,尤其是在首次添加策略时。

  • 对于子网初始保护,Firewall Manager 首选旧的策略 - 这仅适用于尚未得到 Firewall Manager 网络 ACL 策略保护的子网。如果一个子网同时属于多个网络 ACL 策略的范围,则 Firewall Manager 使用最旧的策略来保护此子网。

  • 策略停止保护子网的原因 - 管理子网的网络 ACL 的策略保留管理能力,直到发生以下情况之一:

    • 子网超出了策略的范围。

    • 策略已删除。

    • 您可以手动更改子网与由其他 Firewall Manager 策略进行管理且子网在其范围内的网络 ACL 的关联。

主题