Amazon VPC 網路存取控制清單 (ACL) 政策 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced
網路 ACL 規則和標記初始網路 ACL 管理受管理網路 ACL 的補救措施網路 ACL 合規性報告最佳實務警告刪除網路 ACL 原則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC 網路存取控制清單 (ACL) 政策

本節介紹 AWS Firewall Manager 網路 ACL 原則的運作方式,並提供使用這些原則的指引。如需使用主控台建立網路 ACL 原則的指引,請參閱建立網路 ACL 原則

如需 Amazon VPC 網路存取控制清單 (ACL) 的相關資訊,請參閱 Amazon VPC 使用者指南中的使用網路 ACL 控制到子網路的流量

您可以使用 Firewall Manager 員網路 ACL 政策來管理您在中組織的 Amazon Virtual Private Cloud (Amazon VPC) 網路存取控制清單 (ACL)。 AWS Organizations您可以定義策略的網路 ACL 規則設定,以及要在其中強制執行設定的帳戶和子網路。當帳戶和子網路在整個組織中新增或更新時,Firewall Manager 會持續將您的策略設定套用至帳戶和子網路。如需有關策略範圍和的資訊 AWS Organizations,請參閱AWS Firewall Manager 政策範圍和《AWS Organizations 使用指南》

當您定義 Firewall Manager 員網路 ACL 原則時,除了標準 Firewall Manager 員原則設定 (例如名稱和範圍) 之外,還提供下列資訊:

  • 入站和出站流量處理的第一個和最後一個規則。Firewall Manager 員會強制執行在策略範圍內的網路 ACL 中存在和排序,或報告不符合規範圍。您的個人帳戶可以建立自訂規則,以便在策略的第一個和最後一個規則之間執行。

  • 當修復會導致網路 ACL 中規則之間的流量管理衝突時,是否強制進行修復。這僅在為策略啟用修復時適用。

Firewall Manager 員網路 ACL 規則和標記

本節說明網路 ACL 原則規則規格,以及由 Firewall Manager 員管理的網路 ACL。

在受管理的網路 ACL 上進行標記

Firewall Manager 員使用值為的FMManaged標籤來標記受管理的網路 ACL true。Firewall Manager 員只會對具有此標記設定的網路 ACL 執行修復。

您在策略中定義的規則

在您的網路 ACL 原則規格中,您可以定義要針對輸入流量最先和最後執行的規則,以及您想要針對輸出流量執行的第一個和最後一個規則。

依預設,您最多可以定義 5 個輸入規則,以用於原則中第一個和最後一個規則的任意組合。同樣地,您最多可以定義 5 個輸出規則。如需這些限制的詳細資訊,請參閱軟配額。如需有關網路 ACL 一般限制的資訊,請參閱 Amazon VPC 使用者指南中的 Amazon 網路 ACL 配額

您不會將規則編號指派給原則規則。相反地,您可以依照要評估規則的順序來指定規則,而「Firewall Manager 員」會使用該順序在其管理的網路 ACL 中指派規則編號。

除此之外,您可以管理政策的網路 ACL 規則規格,就像透過 Amazon VPC 管理網路 ACL 中的規則一樣。如需 Amazon VPC 中網路 ACL 管理的相關資訊,請參閱 Amazon VPC 使用者指南中的使用網路 ACL 控制到子網路的流量和使用網路 ACL

受管網路 ACL 中的規則

Firewall Manager 會在其管理的網路 ACL 中設定規則,方法是將策略的第一個和最後一個規則置於個別帳戶管理員定義的任何自訂規則之前和之後。Firewall Manager 員會保留自訂規則的順序。網路 ACL 會從編號最低的規則開始評估。

當 Firewall Manager 員第一次建立網路 ACL 時,會使用下列編號來定義規則:

  • 第一條規則:1,2,... — 由您在 Firewall Manager 員網路 ACL 原則中定義。

    「Firewall Manager 員」會指派規則編號,從 1 開始遞增為 1,並依照您在原則規格中的排序順序來指派規則編號。

  • 自定義規則:5,5,100,... — 由個別客戶經理透過 Amazon VPC 管理。

    「Firewall Manager 員」會為這些規則指派數字,從 5,000 開始,並針對每個後續規則遞增 100。

  • 最後規則:... 32,765, 32,766 — 由您在 Firewall Manager 員網路 ACL 原則中定義。

    「Firewall Manager 員」會指派以最高可能數字結尾的規則編號,32766 以遞增 1,並依照您在原則規格中的排序順序排列規則。

網路 ACL 初始化之後,Firewall Manager 員不會控制個別帳戶在其受管理網路 ACL 中所做的變更。個別帳戶可以變更網路 ACL 而不會超出合規性,前提是任何自訂規則在策略的第一個和最後一個規則之間保持編號,而第一個和最後一個規則會維持其指定的順序。最佳作法是,在管理自訂規則時,請遵循本節所述的編號。

Firewall Manager 員如何啟動子網路的網路 ACL 管理

當子網路與 Firewall Manager 員建立並標記為的網路 ACL 建立關聯時,Firewall Manager 員會開始管理子網路 ACL trueFMManaged

符合網路 ACL 原則時,子網路的網路 ACL 必須將原則的第一個規則依照原則中指定的順序放在首位、最後一個規則排在最後、依序排列,以及任何其他自訂規則放在中間。這些需求可以由子網路已與子網路建立關聯的未受管理網路 ACL 或受管理的網路 ACL 來滿足。

當 Firewall Manager 員將網路 ACL 原則套用至與未受管理網路 ACL 相關聯的子網路時,Firewall Manager 員會依序檢查下列項目,並在識別出可行選項時停止:

  1. 相關聯的網路 ACL 已經相容 — 如果目前與子網路相關聯的網路 ACL 符合規範,則 Firewall Manager 員會保留該關聯,並且不會啟動子網路的網路 ACL 管理。

    Firewall Manager 員不會變更或以其他方式管理它不擁有的網路 ACL,但只要它符合規範,Firewall Manager 員就會將其保留在適當的位置,只是監視它是否符合原則。

  2. 可使用符合規範的受管理網路 ACL — 如果 Firewall Manager 員已經在管理符合所需組態的網路 ACL,則這是一個選項。如果已啟用修復,則 Firewall Manager 員會將子網路與其關聯。如果修復已停用,則 Firewall Manager 員會將子網路標示為不相容,並提供取代網路 ACL 關聯作為補救選項。

  3. 建立新的合規受管理網路 ACL — 如果啟用修復,則 Firewall Manager 員會建立新的網路 ACL,並將其與子網路產生關聯。否則,Firewall Manager 員會將子網路標示為不相容,並提供建立新網路 ACL 和取代網路 ACL 關聯的補救選項。

如果這些步驟失敗,Firewall Manager 員會報告子網路的不符合規範。

當子網路第一次進入範圍,以及子網路的非受管理網路 ACL 不符合規範時,Firewall Manager 員會遵循下列步驟。

Firewall Manager 員如何修復不符合標準的受管理網路 ACL

本節說明當受管理的網路 ACL 不符合原則時,Firewall Manager 員如何修復其受管理的網路 ACL。Firewall Manager 員只會修復受管理的網路 ACL — 標籤設為FMManagedtrue如需非由 Firewall Manager 員管理的網路 ACL,請參閱初始網路 ACL 管理

修復會還原第一個規則、自訂規則和最後一個規則的相對位置,並還原第一個和最後一個規則的順序。在修復期間,Firewall Manager 員不一定會將規則移至其在網路 ACL 初始化中使用的規則編號。如需這些規則品類的初始編號設定和描述,請參閱初始網路 ACL 管理

為了建立相容的規則和規則順序,Firewall Manager 員可能需要在網路 ACL 內移動規則。Firewall Manager 員會盡可能保留網路 ACL 的保護,方法是維持現有的相容規則順序,就像這樣做。例如,它可能會暫時將規則複製到新位置,然後執行原始規則的順序移除,以便在程序期間保留相對位置。

此方法可保護您的設定,但也需要網路 ACL 中的空間,以供暫時規則使用。如果 Firewall Manager 員達到網路 ACL 中規則的限制,則會中止修復。發生這種情況時,網路 ACL 會維持不符合規範,而且 Firewall Manager 員會報告原因。

如果帳戶將自訂規則新增至由 Firewall Manager 員管理的網路 ACL,而這些規則會干擾 Firewall Manager 員修復,則 Firewall Manager 員會停止網路 ACL 上的任何補救活動並報告衝突。

強制補救

如果您為策略選擇 auto 修復,您還可以指定是強制對第一個規則還是最後一個規則強制修復。

當 Firewall Manager 在自訂規則與策略規則之間的流量處理發生衝突時,它會參照對應的強制修復設定。如果啟用強制修復,則儘管發生衝突,Firewall Manager 員仍會套用補救。如果未啟用此選項,「Firewall Manager 員」會停止修復。在任何一種情況下,Firewall Manager 員都會報告規則衝突並提供補救選項。

規則計數需求和限制

在修復期間,Firewall Manager 可能會暫時複製規則,以便在不變更規則提供的防護的情況下移動規則。

對於輸入或輸出規則,「Firewall Manager 員」可能需要執行修復的最多規則數目如下:

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

網路 ACL 和網路 ACL 原則受到可變規則限制的約束。如果 Firewall Manager 員在修復工作中達到限制,它就會停止嘗試修復並報告不符合規範。

若要騰出空間讓 Firewall Manager 員執行其補救活動,您可以要求提高限制。或者,您可以變更原則或網路 ACL 中的組態,以減少使用的規則數目。

如需有關網路 ACL 限制的資訊,請參閱 Amazon VPC 使用者指南中的 Amazon 網路 ACL 配額

修復失敗時

更新網路 ACL 時,如果 Firewall Manager 員因任何原因需要停止,它不會復原變更,而是讓網路 ACL 保持暫時狀態。如果您在FMManaged標籤設定為的網路 ACL 中看到重複的規則true,則 Firewall Manager 員可能正在進行修復。變更可能會在一段時間內完成部分,但是由於 Firewall Manager 採取的修復方法,因此不會中斷流量或減少相關子網路的保護。

當 Firewall Manager 員未完全修復不符合規範的網路 ACL 時,它會報告相關子網路的不符合性,並建議可能的補救選項。

修復失敗後重試

在大多數情況下,如果 Firewall Manager 員無法完成網路 ACL 的修復變更,它最終會重試變更。

例外情況是修復達到網路 ACL 規則計數限制或 VPC 網路 ACL 計數限制時。Firewall Manager 員無法執行會佔用 AWS 資源超過其限制設定的補救活動。在這些情況下,您需要減少計數或增加限制才能繼續。如需有關限制的資訊,請參閱 Amazon VPC 使用者指南中的網路 ACL 上的 Amazon VPC 配額

Firewall Manager 員網路 ACL 符合報告

Firewall Manager 員會監控並報告附加至範圍內子網路之所有網路 ACL 的符合性。

一般而言,如果原則規則與自訂規則之間的規則順序不正確或流量處理行為發生衝突等情況,就會發生不符合性。不符合性報告包括規範遵循違規和修正選項。

「Firewall Manager 員」會以與其他策略類型相同的方式回報網路 ACL 策略的符合性違規。如需符合性報告的相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

策略更新期間不符合

修改網路 ACL 原則之後,直到 Firewall Manager 員更新原則範圍內的網路 ACL 之前,Firewall Manager 員會將這些網路 ACL 標示為不符合標準。即使嚴格來說,即使網路 ACL 可能符合規定,Firewall Manager 員也會執行此操作。

例如,如果您從原則規格中移除規則,而範圍內的網路 ACL 仍有額外的規則,則其規則定義仍可能符合原則。但是,由於額外的規則是「Firewall Manager 員」所管理規則的一部分,因此「Firewall Manager 員」會將其視為違反目前策略設定的規則。這與「Firewall Manager 員」檢視您新增至「Firewall Manager 員」管理網路 ACL 的自訂規則的方式不同。

使用 Firewall Manager 員網路 ACL 原則的最佳作法

本節列出使用 Firewall Manager 員網路 ACL 原則和受管理網路 ACL 的建議。

請參閱標FMManaged籤以識別由 Firewall Manager 員管理的網路 ACL

Firewall Manager 員管理的網路 ACL 會將標FMManaged籤設定為true。使用此標記可協助區分您自己的自訂網路 ACL 和透過 Firewall Manager 員管理的 ACL。

請勿修改網路 ACL 上FMManaged標籤的值

Firewall Manager 員會使用此標記,透過網路 ACL 來設定及判斷其管理狀態。

請勿修改具有 Firewall Manager 員管理網路 ACL 之子網路的關聯

請勿手動變更子網路與由 Firewall Manager 員管理的任何網路 ACL 之間的關聯。這樣做可能會停用 Firewall Manager 員管理這些子網路的保護功能。您可以尋找的FMManaged標籤設定,識別由 Firewall Manager 員管理的true網路 ACL。

若要從 Firewall Manager 員原則管理中移除子網路,請使用 Firewall Manager 員原則範圍設定來排除子網路。例如,您可以標記子網路,然後從原則範圍中排除該標記。如需詳細資訊,請參閱 AWS Firewall Manager 政策範圍

當您更新受管理的網路 ACL 時,請勿修改由 Firewall Manager 員管理的規則

在由 Firewall Manager 管理的網路 ACL 中,遵循中所述的編號配置,讓您的自訂規則與原則規則分開。Firewall Manager 員網路 ACL 規則和標記僅新增或修改數字介於 5,000 到 32,000 之間的規則。

避免為帳戶限制新增太多規則

在修復網路 ACL 期間,Firewall Manager 員通常會暫時增加網路 ACL 規則計數。為了避免不合規問題,請確定您有足夠的空間容納您正在使用的規則。如需詳細資訊,請參閱 Firewall Manager 員如何修復不符合標準的受管理網路 ACL

從停用自動修補開始

從停用自動修復開始,然後檢閱原則詳細資料資訊,以判斷自動修復會產生的影響。當您確認這些變更正是您所需的時,請編輯政策,以啟用自動修補。

Firewall Manager 員網路 ACL 原則警告

本節列出使用 Firewall Manager 員網路 ACL 原則的注意事項和限制。

  • 更新時間比其他政策慢 — 由於 Amazon EC2 網路 ACL API 處理請求的速率有限,因此 Firewall Manager 員套用網路 ACL 政策和政策變更的速度通常會比其他 Firewall Manager 員政策慢。您可能會注意到,策略變更所花費的時間超過與其他 Firewall Manager 策略相似的變更,尤其是當您第一次新增策略時。

  • 對於初始子網路保護,Firewall Manager 偏好較舊的原則 — 這僅適用於尚未受 Firewall Manager 員網路 ACL 原則保護的子網路。如果子網路同時進入多個網路 ACL 原則的範圍,則 Firewall Manager 員會使用最舊的原則來保護子網路。

  • 原則停止保護子網路的原因 — 管理子網路之網路 ACL 的原則會保留管理,直到發生下列其中一種情況為止:

    • 子網路超出原則的範圍。

    • 即會刪除策略。

    • 您可以手動將子網路的關聯變更為由不同 Firewall Manager 員原則管理且子網路在範圍內的網路 ACL。

刪除 Firewall Manager 員網路 ACL 策略

當您刪除 Firewall Manager 員網路 ACL 策略時,Firewall Manager 員會將它為策略管理的所有網路 ACL false 上的FMManaged標籤值變更為。

此外,您可以選擇是否清除策略所建立的資源。如果您選擇「清除」,「Firewall Manager 員」會依序嘗試下列步驟:

  1. 將關聯設回原始狀態 —「Firewall Manager 員」會在 Firewall Manager 員開始管理子網路之前,嘗試將子網路與其關聯的網路 ACL 相關聯。

  2. 從網路 ACL 移除第一個和最後一個規則 — 如果無法變更關聯性,Firewall Manager 會嘗試移除原則的第一個和最後一個規則,只在與子網路關聯的網路 ACL 中保留自訂規則。

  3. 規則或關聯不執行任何動作 — 如果無法執行上述任一項作業,則 Firewall Manager 員會保留網路 ACL 及其關聯原樣。

如果您未選擇清除選項,則必須在刪除原則後手動管理每個網路 ACL。在大多數情況下,選擇清理是最簡單的方法。