**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Firewall Manager 如何管理您的防火墙子网
<a name="fms-manage-firewall-subnets"></a>

本节介绍了 Firewall Manager 如何管理您的防火墙子网。

防火墙子网是 Firewall Manager 为过滤网络流量的防火墙端点创建的 VPC 子网。每个防火墙端点都必须部署在专用 VPC 子网中。Firewall Manager 在策略范围内的每个 VPC 中至少创建一个防火墙子网。

对于使用分布式部署模型和自动端点配置的策略，Firewall Manager 仅在可用区域中创建防火墙子网，这些子网的子网带有互联网网关路由，或者子网具有通往 Firewall Manager 为其策略创建的防火墙端点的路由。有关更多信息，请参阅 *Amazon VPC 用户指南*中的[VPCs 和子网](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics)。

对于使用分布式或集中式模式（您指定 Firewall Manager 在哪个可用区中创建防火墙端点）的策略，无论可用区中是否有其他资源，Firewall Manager 都会在这些特定的可用区中创建一个端点。

首次定义 Network Firewall 策略时，需要指定 Firewall Manager 如何管理范围内每个子网中的防火墙子网。 VPCs 此后您不能对此选项进行更改。

对于使用分布式部署模型和自动端点配置的策略，您可以在以下选项中进行选择：
+ 为每个具有公有子网的可用区部署防火墙子网。这是默认行为。这为您的流量过滤保护提供了高可用性。
+ 在一个可用区中部署单个防火墙子网。通过此选项，Firewall Manager 可以识别 VPC 中哪个区域的公有子网最多，并在该区域创建防火墙子网。单个防火墙端点可过滤 VPC 的所有网络流量。这种方式可以降低防火墙成本，但其可用性不高，需要来自其他区域的流量才能跨越区域边界，以实现过滤。

对于使用带有自定义端点配置的分布式部署模型或集中式部署模型的策略，Firewall Manager 会在策略范围内的指定可用区中创建子网。

您可以提供 VPC CIDR 块供 Firewall Manager 用于防火墙子网，也可以将防火墙端点地址的选择留给 Firewall Manager 来决定。
+ 如果你不提供 CIDR 块，Firewall Manager 会向你查询 VPCs 可供使用的可用 IP 地址。
+ 如果您提供 CIDR 块列表，Firewall Manager 将仅在您提供的 CIDR 块中搜索新子网。您必须使用 /28 CIDR 块。对于 Firewall Manager 创建的每个防火墙子网，它会遍历您的 CIDR 阻止列表，并使用它找到的第一个适用于可用区和 VPC 且具有可用地址的子网。如果 Firewall Manager 无法在 VPC 中找到开放空间（有或没有限制），则该服务不会在 VPC 中创建防火墙。

如果 Firewall Manager 无法在可用区中创建所需的防火墙子网，则会将该子网标记为不符合策略。当该区域处于这种状态时，该区域的流量必须跨越区域边界，才能被其他区域中的端点过滤。这与单防火墙子网场景类似。