Firewall Manager 如何修复不合规的托管网络 ACLs - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
网络ACL合规性报告

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Firewall Manager 如何修复不合规的托管网络 ACLs

本节介绍当托管网络不符合策略ACLs时,Firewall Manager 如何对其进行修复。Firewall Manager 仅修复托管网络ACLs,FMManaged标签设置为。true有关不由 F ACLs irewall Manager 管理的网络,请参阅初始网络ACL管理

修复可恢复第一条、自定义规则和最后一条规则的相对位置,并恢复第一条和最后一条规则的顺序。在修复期间,Firewall Manager 不一定会将规则移动到它在网络ACL初始化中使用的规则编号。有关这些规则类别的初始数字设置和说明,请参见初始网络ACL管理

为了建立合规的规则和规则顺序,Firewall Manager 可能需要在网络内部移动规则ACL。Firewall Manager 尽可能通过维护现有的合规规则顺序来保护网络ACL的保护。例如,它可能会暂时将规则复制到新位置,然后对原始规则执行有序移除,在此过程中保留相对位置。

这种方法可以保护您的设置,但也需要在网络中留出空间ACL来存放临时规则。如果 Firewall Manager 达到网络中规则的限制ACL,它将停止修复。发生这种情况时,网络ACL仍然不合规,Firewall Manager 会报告原因。

如果某个帐户向由 Firewall Manager 管理的网络ACL添加了自定义规则,而这些规则干扰了防火墙管理器的修复,Firewall Manager 会停止网络上的任何修复活动ACL并报告冲突。

强制补救

如果为策略选择 auto 修复,则还需要指定是对第一条规则还是最后一条规则强制修正。

当 Firewall Manager 在自定义规则和策略规则之间的流量处理中遇到冲突时,它会引用相应的强制修复设置。如果启用了强制修复,则无论存在冲突,Firewall Manager 都会应用补救措施。如果未启用此选项,Firewall Manager 将停止修复。无论哪种情况,Firewall Manager 都会报告规则冲突并提供补救选项。

规则计数要求和限制

在修复期间,Firewall Manager 可能会临时复制规则,以便在不更改规则提供的保护的情况下移动规则。

对于入站或出站规则,Firewall Manager 执行补救可能需要的最大规则数量如下:

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

网络ACLs和网络ACL策略受可变规则限制的约束。如果 Firewall Manager 的修复工作达到极限,它将停止尝试修复并报告违规行为。

要为 Firewall Manager 腾出空间来执行其修复活动,您可以请求提高限制。或者,您可以更改策略或网络中的配置ACL以减少使用的规则数量。

有关网络ACL限制的信息,请参阅《亚马逊VPC用户指南》ACLs中的亚马逊网络VPC配额

补救失败时

更新网络时ACL,如果 Firewall Manager 出于任何原因需要停止,它不会回滚更改,而是使网络ACL处于临时状态。如果您在FMManaged标签设置为的网络中看到重复的规则ACL,Firewall Manager 可能正在对其进行修复。true更改可能会在一段时间内部分完成,但由于 Firewall Manager 采用的补救方法,这不会中断流量或降低对关联子网的保护。

当 Firewall Manager 无法完全修复不合规的网络ACLs时,它会报告关联子网的不合规情况,并建议可能的补救选项。

修复失败后重试

在大多数情况下,如果 Firewall Manager 未能完成对网络的补救更改ACL,它最终会重试更改。

当补救达到网络ACL规则计数限制或网络计数限制时,情况VPC除外。ACLFirewall Manager 无法执行占用超过其限制设置的 AWS 资源的补救活动。在这些情况下,您需要减少计数或增加限制才能继续。有关限制的信息,请参阅《亚马逊VPC用户指南》ACLs中的亚马逊网络VPC配额

Firewall Manager 网络ACL合规性报告

Firewall Manager 监控并报告连接到范围内子网的所有网络ACLs的合规性。

一般而言,不合规发生在诸如规则顺序不正确或策略规则与自定义规则之间的流量处理行为冲突之类的情况。不合规报告包括违规行为和补救选项。

Firewall Manager 报告网络ACL策略的合规违规情况的方式与其他策略类型相同。有关合规性报告的信息,请参阅查看 AWS Firewall Manager 策略的合规性信息

政策更新期间不合规

修改网络ACL策略后,在 Firewall Manager 更新该策略范围内的网络之前ACLs,Firewall Manager 会将这些网络标记为ACLs不合规。即使严格来说,即使网络ACLs可能合规,Firewall Manager 也会这样做。

例如,如果您从策略规范中删除规则,而范围内的网络ACLs仍有额外的规则,则它们的规则定义可能仍符合该策略。但是,由于额外规则是防火墙管理器管理的规则的一部分,因此防火墙管理器将其视为违反当前策略设置的行为。这与 Firewall Manager 查看添加到防火墙管理器托管网络的自定义规则的方式不同ACLs。