Firewall Manager 如何管理您的防火牆子網路

本節說明 Firewall Manager 如何管理您的防火牆子網路。

防火牆子網路是 Firewall Manager 為篩選網路流量的防火牆端點建立的 VPC 子網路。每個防火牆端點都必須部署在專用 VPC 子網路中。Firewall Manager 會在政策範圍內的每個 VPC 中建立至少一個防火牆子網路。

對於使用分散式部署模型搭配自動端點組態的政策，防火牆管理員只會在可用區域中建立防火牆子網路，該區域具有具有網際網路閘道路由的子網路，或具有路由的子網路，而防火牆管理員會為其政策建立的防火牆端點。如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的 VPC 和子網路。

對於使用分散式或集中式模型的政策，當您指定哪些可用區域 Firewall Manager 建立防火牆端點時，防火牆管理員會在這些特定可用區域中建立端點，無論可用區域中是否有其他資源。

當您第一次定義 Network Firewall 政策時，您可以指定 Firewall Manager 如何管理範圍內每個 VPCs中的防火牆子網路。您稍後無法變更此選項。

對於使用分散式部署模型搭配自動端點組態的政策，您可以選擇下列選項：

• 為具有公有子網路的每個可用區域部署防火牆子網路。這是預設行為。這可提供高可用性的流量篩選保護。

• 在一個可用區域中部署單一防火牆子網路。使用此選項時，防火牆管理員會識別 VPC 中具有最多公有子網路的區域，並在其中建立防火牆子網路。單一防火牆端點會篩選 VPC 的所有網路流量。這可以降低防火牆成本，但它不是高度可用的，它需要來自其他區域的流量才能篩選出跨區域邊界。

對於使用具有自訂端點組態的分散式部署模型或集中式部署模型的政策， Firewall Manager 會在政策範圍內的指定可用區域中建立子網路。

您可以為 Firewall Manager 提供 VPC CIDR 區塊，以用於防火牆子網路，或者您可以將防火牆端點地址的選擇保留為 Firewall Manager 來決定。

• 如果您未提供 CIDR 區塊， Firewall Manager 會查詢您的 VPCs以取得要使用的可用 IP 地址。

• 如果您提供 CIDR 區塊清單，防火牆管理員只會在您提供的 CIDR 區塊中搜尋新的子網路。您必須使用 /28 CIDR 區塊。對於 Firewall Manager 建立的每個防火牆子網路，它會逐步引導 CIDR 區塊清單，並使用第一個找到適用於可用區域和 VPC 且具有可用地址的子網路。如果 Firewall Manager 在 VPC 中找不到開放空間 （有或沒有限制），則服務不會在 VPC 中建立防火牆。

如果 Firewall Manager 無法在可用區域中建立所需的防火牆子網路，則會將該子網路標記為不符合 政策。當區域處於此狀態時，區域的流量必須跨越區域界限，才能由另一個區域中的端點篩選。這類似於單一防火牆子網路案例。