Firewall Manager 如何修復不合規的受管網路 ACLs - AWS WAF AWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管
網路 ACL 合規報告

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用 主控台

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Firewall Manager 如何修復不合規的受管網路 ACLs

本節說明 Firewall Manager 如何在不符合政策時修復其受管網路 ACLs。Firewall Manager 只會修復受管網路 ACLs,並將FMManaged標籤設定為 true。如需非由 Firewall Manager 管理的網路 ACLs,請參閱 初始網路 ACL 管理

修復會還原第一個、自訂和最後一個規則的相對位置,並還原第一個和最後一個規則的排序。在修復期間,防火牆管理員不一定會將規則移至網路 ACL 初始化中使用的規則號碼。如需這些規則類別的初始數字設定和說明,請參閱 初始網路 ACL 管理

為了建立合規規則和規則排序,防火牆管理員可能需要在網路 ACL 內移動規則。Firewall Manager 會盡可能維持現有的合規規則順序,以保留網路 ACL 的保護。例如,它可能會暫時將規則複製到新位置,然後依序移除原始規則,在程序期間保留相對位置。

此方法可保護您的設定,但臨時規則也需要網路 ACL 中的空間。如果 Firewall Manager 達到網路 ACL 中規則的限制,將會停止修復。發生這種情況時,網路 ACL 會維持不合規狀態,且 Firewall Manager 會報告原因。

如果帳戶將自訂規則新增至由 Firewall Manager 管理的網路 ACL,且這些規則干擾 Firewall Manager 修補,則 Firewall Manager 會停止網路 ACL 上的任何修補活動並報告衝突。

強制修復

如果您選擇政策的自動修復,您也可以指定要強制第一個規則或最後一個規則的修復。

當 Firewall Manager 在自訂規則和政策規則之間遇到流量處理衝突時,它是指對應的強制修復設定。如果啟用強制修復,即使發生衝突, Firewall Manager 仍會套用修復。如果未啟用此選項,防火牆管理員會停止修復。在任何一種情況下,防火牆管理員都會報告規則衝突並提供修補選項。

規則計數需求和限制

在修復期間,防火牆管理員可能會暫時複製規則,以便在不變更其提供的保護的情況下移動規則。

對於傳入或傳出規則,防火牆管理員可能需要執行修復的最大規則數量如下:

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

網路 ACLs 和網路 ACL 政策受可變規則限制約束。如果 Firewall Manager 在修復工作中達到限制,則會停止嘗試修復和報告不合規。

若要讓 Firewall Manager 有空間執行其修補活動,您可以請求提高限制。或者,您可以變更政策或網路 ACL 中的組態,以減少使用的規則數量。

如需網路 ACL 限制的相關資訊,請參閱《Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額

當修復失敗時

更新網路 ACL 時,如果 Firewall Manager 因任何原因需要停止,則不會轉返變更,而是讓網路 ACL 處於臨時狀態。如果您在FMManaged標籤設定為 的網路 ACL 中看到重複的規則true,則 Firewall Manager 可能正在修復它。變更可能會部分完成一段時間,但由於 Firewall Manager 採取的修復方法,這不會中斷流量或減少對相關聯子網路的保護。

當 Firewall Manager 未完全修復不合規的網路 ACLs 時,它會報告相關聯子網路的不合規情況,並建議可能的修復選項。

修復失敗後重試

在大多數情況下,如果 Firewall Manager 無法完成網路 ACL 的修復變更,最終會重試變更。

例外狀況是修補達到網路 ACL 規則計數限制或 VPC 網路 ACL 計數限制時。Firewall Manager 無法執行將 AWS 資源超過其限制設定的修復活動。在這些情況下,您需要減少計數或增加限制才能繼續。如需限制的相關資訊,請參閱《Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額

Firewall Manager 網路 ACL 合規報告

Firewall Manager 會監控並報告連接到範圍內子網路的所有網路 ACLs 的合規性。

一般而言,如果規則順序不正確或政策規則與自訂規則之間的流量處理行為發生衝突,就會發生不合規。不合規報告包括合規違規和修復選項。

Firewall Manager 以與其他政策類型相同的方式報告網路 ACL 政策的合規違規。如需合規報告的資訊,請參閱 檢視 AWS Firewall Manager 政策的合規資訊

政策更新期間的不合規

修改網路 ACL 政策後,在 Firewall Manager 更新政策範圍內的網路 ACLs 之前,防火牆管理員會將這些網路 ACLs 標記為不合規。即使網路 ACLs可能嚴格地說符合規範, Firewall Manager 也會這樣做。

例如,如果您從政策規格中移除規則,雖然範圍內網路 ACLs 仍有額外的規則,但其規則定義仍可能符合政策。不過,由於額外的規則是 Firewall Manager 管理規則的一部分,因此 Firewall Manager 會將它們視為違反目前政策設定的行為。這與 Firewall Manager 如何檢視您新增至 Firewall Manager 受管網路 ACLs自訂規則不同。