Firewall Manager 如何启动子网的网络 ACL 管理 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Firewall Manager 如何启动子网的网络 ACL 管理

本节介绍了 Firewall Manager 如何启动子网的网络 ACL 管理。

当 Firewall Manager 将子网与其创建且标有 FMManaged 设置为 true 的网络 ACL 关联时,就开始管理此子网的网络 ACL 。

要遵守网络 ACL 策略,需要子网的网络 ACL 按照策略中指定的顺序,将策略的第一条规则放在第一位,并按顺序将最后一条规则排在最后,其他所有自定义规则放在中间。可以通过子网已关联的非托管网络 ACL 或通过托管网络 ACL 来满足这些要求。

当 Firewall Manager 将网络 ACL 策略应用于关联至非托管网络 ACL 的子网时,Firewall Manager 会按顺序查看以下内容,并在发现可行选项时停止:

  1. 关联的网络 ACL 已经合规:如果当前与子网关联的网络 ACL 合规,则 Firewall Manager 会保留这种关联,不启动此子网的网络 ACL 管理。

    Firewall Manager 不会更改或以其他方式管理其不拥有的网络 ACL,但只要此网络 ACL 合规,Firewall Manager 就会将其保留在原位,只是监控其策略合规性。

  2. 有合规的托管网络 ACL 可用:如果 Firewall Manager 已经管理有符合所需配置的网络 ACL,则可以选择此选项。如果启用修复,Firewall Manager 会将子网与其关联起来。如果禁用修复,Firewall Manager 会将子网标为不合规,并提供替换网络 ACL 关联的修复选项。

  3. 创建新的合规托管网络 ACL:如果启用修复,Firewall Manager 将创建一个新的网络 ACL 并将其与子网关联。否则,Firewall Manager 会将子网标为不合规,并提供创建新的网络 ACL 和替换网络 ACL 关联的修复选项。

如果这些步骤失败,Firewall Manager 会报告子网不合规。

当子网首次进入范围内,而子网的非托管网络 ACL 不合规时,Firewall Manager 会遵照这些步骤。