本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Firewall Manager 中使用网络ACL规则和标记
本节介绍网络ACL策略规则规范以及由 Firewall Manager 管理的网络ACLs。
在托管网络上添加标签 ACL
Firewall Manager ACL 使用值为的FMManaged标签来标记托管网络true。Firewall Manager 仅在设置了ACLs此标签的网络上执行修复。
您在策略中定义的规则
在您的网络ACL策略规范中,您可以为入站流量定义要首先和最后运行的规则,以及要为出站流量首先运行和最后运行的规则。
默认情况下,您最多可以定义 5 条入站规则,用于策略中第一个和最后一个规则的任意组合。同样,您最多可以定义 5 个出站规则。有关这些限制的更多信息,请参阅软限额。有关网络的一般限制的信息ACLs,请参阅《亚马逊VPC用户指南》ACLs中的亚马逊网络VPC配额。
您不为策略规则分配规则编号。相反,您可以按照评估规则的顺序指定规则,然后 Firewall Manager 使用该顺序在其管理的网络ACLs中分配规则编号。
除此之外,您可以像ACL通过 Amazon 管理网络ACL中的规则一样管理策略的网络规则规范VPC。有关 Amazon 网络ACL管理的信息VPC,请参阅《亚马逊VPC用户指南》中的 “使用网络控制子网流量” ACLs 和 “使用网络 ACLs”。
托管网络中的规则 ACL
Firewall Manager 通过将策略的第一条和最后一条规则放在个人账户管理员定义的任何自定义规则之前和之后,来配置其管理的网络ACL中的规则。Firewall Manager 会保留自定义规则的顺序。从编号最低的规则开始评估网络ACLs。
当 Firewall Manager 首次创建网络时ACL,它会使用以下编号定义规则:
第一条规则:1、2、... — 由您在 Firewall Manager 网络ACL策略中定义。
Firewall Manager 分配从 1 开始的规则编号,增量为 1,规则的顺序与您在策略规范中的顺序相同。
自定义规则:5,000、5,100、... — 由个人账户经理通过 Amazon 进行管理VPC。
Firewall Manager 为这些规则分配的数字从 5,000 开始,后续每条规则以 100 为递增。
最后的规则:... 32,765、32,766 — 由您在 Firewall Manager 网络策略中定义。ACL
Firewall Manager 会分配以尽可能高的数字(32766)结尾的规则编号,增量为 1,规则的顺序与您在策略规范中的顺序相同。
网络ACL初始化后,Firewall Manager 无法控制各个帐户在其托管网络中所做的更改ACLs。个人账户可以在不违规ACL的情况下更改网络,前提是任何自定义规则在策略的第一条和最后一条规则之间保持编号,并且第一条和最后一条规则保持其指定的顺序。作为最佳实践,在管理自定义规则时,请遵守本节中描述的编号。
