Firewall Manager 如何修復不合規的受管網路 ACLs - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
網路ACL合規報告

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Firewall Manager 如何修復不合規的受管網路 ACLs

本節說明 Firewall Manager 如何在不符合政策ACLs時修復其受管網路。Firewall Manager 只會修復受管網路ACLs,並將FMManaged標籤設定為 true。如需非 Firewall Manager 管理ACLs的網路,請參閱 初始網路ACL管理

修復會還原第一個、自訂和最後一個規則的相對位置,並還原第一個和最後一個規則的順序。在修復期間,防火牆管理員不一定會將規則移至網路ACL初始化中使用的規則編號。如需這些規則類別的初始數字設定和描述,請參閱 初始網路ACL管理

為了建立合規規則和規則排序,Firrate Manager 可能需要在網路 內移動規則ACL。Firewall Manager 會盡可能維持現有的合規規則順序,以保留網路ACL的保護。例如,它可能會暫時將規則複製到新位置,然後執行原始規則的有序移除,在過程中保留相對位置。

此方法可保護您的設定,但也需要網路中的空間ACL才能用於期中規則。如果 Firewall Manager 達到網路 中規則的限制ACL,則會停止修復。發生這種情況時,網路ACL會維持不合規狀態,且 Firewall Manager 會報告原因。

如果帳戶將自訂規則新增至由 Firewall Manager ACL 管理的網路,且這些規則干擾 Firewall Manager 修復,則 Firewall Manager 會停止網路上的任何修復活動ACL並報告衝突。

強制修復

如果您選擇政策的自動修復,您也可以指定要強制第一個規則或最後一個規則的修復。

當 Firewall Manager 在自訂規則與政策規則之間遇到流量處理衝突時,它是指對應的強制修復設定。如果啟用強制修復,則 Firewall Manager 會套用修復,即使存在衝突。如果未啟用此選項,則 Firewall Manager 會停止修復。在任何一種情況下,防火牆管理員都會報告規則衝突並提供修復選項。

規則計數需求和限制

在修復期間,Firster Manager 可能會暫時複製規則,以便在不變更其提供的保護的情況下移動規則。

對於傳入或傳出規則,Firrate Manager 可能需要執行修復的最大規則數量如下:

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

網路ACLs和網路ACL政策受可變規則限制約束。如果 Firewall Manager 在修復工作中達到限制,則會停止嘗試修復和報告不合規。

若要讓 Firewall Manager 有空間執行其修復活動,您可以請求提高限制。或者,您可以變更政策或網路中的組態ACL,以減少使用的規則數目。

如需網路ACL限制的相關資訊,請參閱 Amazon 使用者指南 中的網路上的 Amazon VPC 配額ACLs VPC

當修復失敗時

更新網路 時ACL,如果 Firewall Manager 因任何原因需要停止,則不會復原變更,而是讓網路ACL處於臨時狀態。如果您在FMManaged標籤設定為 的網路中看到重複ACL的規則true,則 Firewall Manager 可能會處於修復中。變更可能會部分完成一段時間,但由於 Firewall Manager 採取的修復方法,這不會中斷流量或減少對相關子網路的保護。

當 Firewall Manager 未完全修復不合規ACLs的網路時,它會報告相關子網路的不合規情況,並建議可能的修復選項。

修復失敗後重試

在大多數情況下,如果 Firewall Manager 無法完成對網路 的修復變更ACL,最終會重試變更。

這種情況的例外是當修復達到網路ACL規則計數限制或VPC網路ACL計數限制時。Firewall Manager 無法執行修復活動,將 AWS 資源取代其限制設定。在這些情況下,您需要減少計數或增加限制才能繼續。如需限制的相關資訊,請參閱 Amazon 使用者指南 中的網路上的 Amazon VPC 配額ACLs VPC

Firewall Manager 網路ACL合規報告

Firewall Manager 會監控並報告ACLs連接到範圍內子網路的所有網路的合規性。

一般而言,如果規則順序不正確或流量處理行為在政策規則與自訂規則之間發生衝突,就會發生不合規的情況。不合規報告包括合規違規和補救選項。

Firewall Manager 回報網路ACL政策的合規違規,方式與其他政策類型相同。如需有關合規報告的資訊,請參閱 檢視 AWS Firewall Manager 原則的符合性資訊

政策更新期間不合規

修改網路ACL政策後,在 Firewall Manager 更新政策ACLs範圍內的網路之前,防火牆管理員會標記這些網路ACLs不合規。即使網路ACLs可能嚴格地說,也要這樣做。

例如,如果您從政策規格中移除規則,雖然範圍內網路ACLs仍具有額外的規則,但其規則定義仍可能符合政策。不過,由於額外的規則是 Firewall Manager 管理規則的一部分,因此 Firewall Manager 會將它們視為違反目前政策設定的行為。這與 Firewall Manager 如何檢視您新增至 Firewall Manager 受管網路 的自訂規則不同ACLs。