Como usar regras de ACL de rede e tags no Firewall Manager - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como usar regras de ACL de rede e tags no Firewall Manager

Esta seção descreve as especificações de regras de política da ACL de rede e ACLs de rede gerenciadas pelo Firewall Manager.

Tags em uma ACL de rede gerenciada

O Firewall Manager marca uma ACL de rede gerenciada com uma tag FMManaged, que tem um valor de true. O Firewall Manager só executa a correção em ACLs de rede que tenham essa configuração de tag.

Regras que você define na política

Na especificação da política de ACL de rede, você define as regras que deseja executar primeiro e por último para o tráfego de entrada e as regras que deseja executar primeiro e por último para o tráfego de saída.

Por padrão, você pode definir até 5 regras de entrada, para uso em qualquer combinação da primeira e da última regra na política. Da mesma forma, você pode definir até 5 regras de saída. Para obter mais informações sobre esses limites, consulte Cotas flexíveis. Para informações sobre os limites gerais em ACLs de rede, consulte Cotas de Amazon VPC para ACLs de rede​ no Guia do usuário da Amazon VPC.

Você não atribui números de regras às regras de política. Em vez disso, você especifica as regras na ordem em que deseja que elas sejam avaliadas, e o Firewall Manager usa essa ordem para atribuir números de regras nas ACLs de rede que ele gerencia.

Além disso, você gerencia as especificações das regras de ACL de rede da política da mesma forma que gerenciaria as regras em uma ACL de rede por meio da Amazon VPC. Para obter informações sobre o gerenciamento de ACL de rede no Amazon VPC, consulte Controlar o tráfego para sub-redes usando ACLs de rede e Trabalhar com ACLs de rede no Guia do usuário da Amazon VPC.

Regras em uma ACL de rede gerenciada

O Firewall Manager configura as regras em uma ACL de rede que ele gerencia colocando a primeira e a última regra da política antes e depois de qualquer regra personalizada definida por um gerente de conta individual. O Firewall Manager preserva a ordem das regras personalizadas. As ACLs de rede são avaliadas a partir da regra de número mais baixo.

Quando o Firewall Manager cria pela primeira vez uma ACL de rede, ele define as regras com a seguinte numeração:

  • Primeiras regras: 1, 2...: definidas por você na política de ACL de rede do Firewall Manager.

    O Firewall Manager atribui números de regras a partir de 1 com incrementos de 1, com as regras ordenadas conforme você as ordenou na especificação da política.

  • Regras personalizadas: 5000, 5100...: gerenciadas por gerentes de contas individuais por meio da Amazon VPC.

    O Firewall Manager atribui números a essas regras a partir de 5000 e incrementando em 100 para cada regra subsequente.

  • Últimas regras: ... 32 765, 32 766: definidas por você na política de ACL de rede do Firewall Manager.

    O Firewall Manager atribui números de regras que terminam no número mais alto possível, 32 766, com incrementos de 1, com as regras ordenadas conforme você as ordenou na especificação da política.

Após a inicialização da ACL de rede, o Firewall Manager não controla as alterações que contas individuais fazem em suas ACLs de rede gerenciadas. Contas individuais podem alterar uma ACL de rede sem tirá-la da conformidade, desde que todas as regras personalizadas permaneçam numeradas entre a primeira e a última regra da política, e a primeira e a última regras mantenham a ordem especificada. Como prática recomendada, ao gerenciar regras personalizadas, siga a numeração descrita nesta seção.