创建 AWS Firewall Manager 策略 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

创建 AWS Firewall Manager 策略

创建策略的步骤因策略类型而异。请确保使用适用于所需策略类型的过程。

重要

AWS Firewall Manager 不支持Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 AWS 资源添加 AWS Shield Advanced 保护中的说明操作。

为 AWS WAF 创建AWS Firewall Manager策略

在 Firewall Manager AWS WAF 策略中,您可以使用托管规则组,这些规则组将由 AWS 和 AWS Marketplace 卖家为您创建和维护。您也可以创建和使用自己的规则组。有关规则组的更多信息,请参阅使用 AWS WAF 规则组

如果要使用自己的规则组,请在创建 Firewall Manager AWS WAF 策略之前创建这些规则组。有关操作指南,请参阅 管理您自己的规则组。要使用单个自定义规则,您必须定义自己的规则组,再在其中定义您的规则,然后在策略中使用该规则组。

有关 Firewall Manager AWS WAF 策略的信息,请参阅 将 AWS WAF 与 Firewall Manager 配合使用

为 AWS WAF 创建 Firewall Manager 策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于 策略类型,选择 AWS WAF

  5. 对于区域,选择一个 AWS 区域。要保护 Amazon CloudFront 分配,请选择全球

    若要保护多个区域中的资源(而不是 CloudFront 分配),您必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择下一步

  7. 对于策略名称,请键入策略的描述性名称。Firewall Manager 在其管理的 Web ACL 的名称中包含策略名称。Web ACL 名称中包括 FMManagedWebACLV2-,后接您在此处输入的策略名称、-,以及 Web ACL 创建时间戳(以 UTC 毫秒为单位)。例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078

  8. 对于 Web 请求正文检查,可以选择更改正文大小限制。有关正文检查大小限制的信息,包括定价注意事项,请参阅AWS WAF开发人员指南中的 管理 AWS WAF 的正文检查大小限制

  9. 策略规则 下,添加您希望 AWS WAF 在 Web ACL 中最先评估和最后评估的规则组。要使用 AWS WAF 托管规则组版本控制,请切换启用版本控制。各客户经理可以在最先运行的规则组和最后运行的规则组之间添加规则和规则组。有关在 Firewall Manager 策略中使用 AWS WAF 规则组以支持 AWS WAF 的更多信息,请参阅 将 AWS WAF 与 Firewall Manager 配合使用

    (可选)要自定义 Web ACL 使用规则组的方式,请选择编辑。以下是常见的自定义设置:

    • 对于托管规则组,覆盖部分或全部规则的规则操作。如果您没有为规则定义覆盖操作,则评估将使用规则组中定义的规则操作。有关此选项的更多信息,请参阅 AWS WAF 开发人员指南中的 在 AWS WAF 中覆盖规则组操作

    • 某些托管规则组要求您提供其他配置。请参阅您的托管规则组提供程序所提供的文档。有关 AWS 托管规则组的特定信息,请参阅AWS WAF开发人员指南使用 AWS WAF 的 AWS 托管规则来防范常见 Web 威胁中的。

    完成设置后,选择保存规则

  10. 设置 Web ACL 的默认操作。这是 AWS WAF 在 Web 请求不与 Web ACL 中的任何规则匹配时执行的操作。您可以使用允许操作添加自定义标题,也可以为屏蔽操作添加自定义响应。有关默认 Web ACL 操作的更多信息,请参阅 在 AWS WAF 中设置 Web ACL 默认操作。有关设置自定义 Web 请求和响应的信息,请参阅 在 AWS WAF 中添加自定义 Web 请求和响应

  11. 对于日志记录配置,选择启用日志记录以打开日志记录。日志记录提供了有关 Web ACL 对流量进行分析的详细信息。选择日志记录目标,然后选择您配置的日志记录目标。必须选择名称以 aws-waf-logs- 开头的日志记录目标。有关配置 AWS WAF 日志记录目标的更多信息,请参阅 将 AWS WAF 与 Firewall Manager 配合使用

  12. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择 添加。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 REDACTED。例如,如果您编辑 URI 字段,则日志中的 URI 字段将为 REDACTED

  13. (可选)如果您不想向日志发送所有请求,请添加您的筛选条件和行为。在筛选日志下,对于要应用的每个筛选器,选择添加筛选条件,然后选择您的筛选条件并指定是要保留还是删除符合条件的请求。添加完筛选条件后,如果需要,可以修改默认日志记录行为。有关更多信息,请参阅 AWS WAF 开发人员指南中的 查找 Web ACL 记录

  14. 您可以定义令牌域列表,以便在受保护的应用程序之间实现令牌共享。当您使用 AWS WAF 欺诈控制账户盗用防护(ATP)和 AWS WAF 机器人控制功能的 AWS 托管规则组时,令牌由 CAPTCHA 和 Challenge 操作以及应用程序集成 SDK 使用。

    不允许使用公共后缀。例如,您不能使用 gov.auco.uk 作为令牌域。

    默认情况下,AWS WAF 仅接受受保护资源的域的令牌。如果您在此列表中添加令牌域,则 AWS WAF 接受列表中所有域和关联资源域的令牌。有关更多信息,请参阅 AWS WAF 开发人员指南中的 AWS WAF Web ACL 令牌域列表配置

    只有在编辑现有 Web ACL 时,才能更改 Web ACL 的验证码和挑战免疫时间。您可以在 Firewall Manager 策略详细信息页面下找到这些设置。有关这些设置的信息,请参阅在 AWS WAF 中设置时间戳过期和令牌免疫时间。如果您更新现有策略中的关联配置验证码挑战令牌域列表设置,Firewall Manager 将使用新值覆盖您的本地 Web ACL。但是,如果您不更新策略的关联配置验证码挑战令牌域列表设置,则本地 Web ACL 中的值将保持不变。有关此选项的更多信息,请参阅 AWS WAF 开发人员指南中的 在 AWS WAF 中使用 CAPTCHA 和 Challenge

  15. Web ACL 管理下,选择 Firewall Manager 如何管理 Web ACL 的创建和清理。

    1. 管理未关联的 Web ACL 中,选择 Firewall Manager 是否管理未关联的 Web ACL。启用此选项后,只有当至少一个资源使用 Web ACL 时,Firewall Manager 才会在策略范围内的账户中创建 Web ACL。当某个账户进入策略范围时,如果至少有一个资源将使用 Web ACL,则 Firewall Manager 会自动在该账户中创建一个 Web ACL。

      启用此选项后,Firewall Manager 会对您的账户中未关联的 Web ACL 进行一次性清理。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围,Firewall Manager 将取消该资源与 Web ACL 的关联,但不清理未关联的 Web ACL。只有当您在策略中首次启用对未关联的 Web ACL 的管理时,Firewall Manager 才会清理未关联的 Web ACL。

    2. 对于 Web ACL 来源,请指定是为范围内的资源创建所有新的 Web ACL,还是尽可能地改造现有的 Web ACL。Firewall Manager 可以改造范围内的账户拥有的 Web ACL。

      默认行为是创建所有新的 Web ACL。如果选择此选项,则 Firewall Manager 管理的所有 Web ACL 的名称均将以 FMManagedWebACLV2 开头。如果选择改造现有的 Web ACL,则改造后的 Web ACL 将使用其原始名称,而由 Firewall Manager 创建的 ACL 的名称将以 FMManagedWebACLV2 开头。

  16. 对于策略操作,如果要在组织中的每个适用账户内创建一个 Web ACL,但不将 Web ACL 应用于任何资源,请选择识别不符合策略规则的资源,但不进行自动修复,不要选择管理关联 Web ACL。您随后可以更改这些选项。

    若要自动将策略应用于现有的范围内资源,请选择 自动修复任何不合规的资源。如果禁用管理未关联的 Web ACL,则自动修复任何不合规资源选项会在组织内的每个适用账户中创建一个 Web ACL,并将该 Web ACL 与账户中的资源关联。如果启用管理未关联的 Web ACL,则自动修复任何不合规资源选项仅在拥有可与 Web ACL 关联的资源的账户中创建和关联 Web ACL。

    当您选择自动修复任何不符合要求的资源时,对于不由其他活动的 Firewall Manager 策略管理的 Web ACL,还可以选择删除 Web ACL 与范围内资源之间的现有关联。如果选择此选项,Firewall Manager 首先将策略的 Web ACL 与资源关联,然后删除之前的关联。如果某个资源与另一个由其他活动的 Firewall Manager 策略管理的 Web ACL 具有关联,则此选择不会影响该关联。

  17. 选择下一步

  18. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  19. 对于 资源类型,选择要保护的资源的类型。

  20. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  21. 选择下一步

  22. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  23. 选择下一步

  24. 查看新的政策设置,然后返回需要进行任何调整的页面。

    若您满意所创建的策略,请选择 创建策略AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

为 AWS WAF Classic 创建 AWS Firewall Manager 策略

为 AWS WAF Classic 创建 Firewall Manager 策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于 策略类型,选择 AWS WAF Classic

  5. 如果您已创建要添加到策略的 AWS WAF Classic 规则组,请选择创建 AWS Firewall Manager 策略并添加现有规则组。如果要创建新规则组,请选择创建 Firewall Manager 策略并添加新规则组

  6. 对于区域,选择一个 AWS 区域。要保护 Amazon CloudFront 资源,请选择全局

    为了保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。

  7. 选择下一步

  8. 如果您要创建规则组,请按照创建 AWS WAF Classic 规则组中的说明操作。在创建规则组后,请继续执行以下步骤。

  9. 输入策略名称。

  10. 如果您要添加现有规则组,请使用下拉菜单选择要添加的规则组,然后选择 添加规则组

  11. 一个策略有两个可能的操作:由规则组设置的操作计数。如果您要测试策略和规则组,请将操作设置为 计数。此操作会覆盖该策略中的规则组所指定的任何阻止 操作。即,如果将策略的操作设置为 计数,则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 由规则组设置的操作,则会使用规则组规则的操作。选择适当的操作。

  12. 选择下一步

  13. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  14. 选择要保护的资源的类型。

  15. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  16. 如果您要将策略自动应用于现有资源,请选择 创建此策略并将其应用于现有资源和新资源

    此选项在 AWS 组织中的每个适用账户内创建一个 Web ACL,并将 Web ACL 与账户中的资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择 创建策略但不将策略应用于现有资源或新资源,则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。选择适当的选项。

  17. 对于 替换现有关联的 Web ACL,您可以选择删除当前为范围内资源定义的任何 Web ACL 关联,然后将它们替换为与您使用此策略创建的 Web ACL 之间的关联。默认情况下,Firewall Manager 不会在添加新的 Web ACL 关联之前删除现有的 Web ACL 关联。如果要删除现有关联,请选择此选项。

  18. 选择下一步

  19. 查看新策略。要进行任何更改,请选择 编辑。若您满意所创建的策略,请选择 创建并应用策略

为 AWS Shield Advanced 创建AWS Firewall Manager策略

为 Shield Advanced(控制台)创建 Firewall Manager 策略
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,选择 Shield Advanced

    要创建 Shield Advanced 策略,您必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的更多信息,请参阅 AWS Shield Advanced 定价

  5. 对于区域,选择一个 AWS 区域。要保护 Amazon CloudFront 分配,请选择全球

    对于除全球以外的区域选项,要保护多个区域中的资源,必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择下一步

  7. 对于名称,请键入策略的描述性名称。

  8. 仅对于全球区域策略,您可以选择是否要管理 Shield Advanced 应用程序层 DDoS 自动缓解。有关 Shield Advanced 功能的信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

    您可以选择启用或禁用自动缓解,也可以选择忽略自动缓解。如果您选择忽略它,则 Firewall Manager 将完全不管理 Shield Advanced 保护的自动缓解。有关这些策略选项的详细信息,请参阅 将应用层 DDoS 自动缓解与 Firewall Manager Shield Advanced 策略搭配使用

  9. Web ACL 管理下,如果您希望 Firewall Manager 管理未关联的 Web ACL,请启用管理未关联的 Web ACL。启用此选项后,只有当至少一个资源使用 Web ACL 时,Firewall Manager 才会在策略范围内的账户中创建 Web ACL。当某个账户在任何时候进入策略范围时,如果至少有一个资源将使用 Web ACL,则 Firewall Manager 会自动在该账户中创建一个 Web ACL。启用此选项后,Firewall Manager 会对您的账户中未关联的 Web ACL 进行一次性清理。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围,Firewall Manager 不会取消该资源与 Web ACL 的关联。要将 Web ACL 包含在一次性清理中,必须先手动取消资源与 Web ACL 的关联,然后启用管理未关联的 Web ACL

  10. 对于策略操作,建议使用不自动修复不合规资源的选项来创建策略。禁用自动修正后,可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用自动修复。

    若要自动将策略应用于现有的范围内资源,请选择 自动修复任何不合规的资源。此选项对 AWS 组织内的每个适用账户和账户中的每个适用资源应用 Shield Advanced 保护。

    如果您选择自动修复任何不合规资源,则还可以选择使 Firewall Manager 自动将任何现有的 AWS WAF Classic Web ACL 关联替换为使用最新版本 AWS WAF (v2) 创建的 Web ACL 的新关联。仅一点仅适用于全球区域策略。如果选择此选项,Firewall Manager 会删除与早期版本的 Web ACL 的关联,并使用最新版本的 Web ACL 创建新的关联,然后在任何还没有该策略的范围内账户中创建新的空 Web ACL。有关此选项的更多信息,请参阅 将 AWS WAF Classic Web ACL 替换为最新版本的 Web ACL

  11. 选择下一步

  12. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  13. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 来保护资源免受这些服务的侵害,则不能使用 Firewall Manager 策略。否则,请按照 向 AWS 资源添加 AWS Shield Advanced 保护 提供的 Shield Advanced 的指导进行操作。

  14. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  15. 选择下一步

  16. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  17. 选择下一步

  18. 查看新的政策设置,然后返回需要进行任何调整的页面。

    若您满意所创建的策略,请选择 创建策略AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

创建 AWS Firewall Manager 通用安全组策略

有关通用安全组策略的工作原理,请参阅 使用 Firewall Manager 通用安全组策略

创建通用安全组策略的前提是,您已在您的 Firewall Manager 管理员账户中创建了一个将用作策略主安全组的安全组。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。有关信息,请参阅 Amazon VPC 用户指南中的使用安全组

创建 通用安全组策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于 策略类型,选择 安全组

  5. 对于 安全组策略类型,选择 通用安全组

  6. 对于区域,选择一个 AWS 区域。

  7. 选择下一步

  8. 对于 策略名称,输入一个友好名称。

  9. 对于策略规则,请执行以下操作:

    1. 从规则选项中,选择要应用于安全组规则的限制以及策略范围内的资源。如果您选择将标签从主要安全组分发给由此策略创建的安全组,则还必须选择识别并报告由此策略创建的安全组何时变得不合规

      重要

      Firewall Manager 不会将通过 AWS 服务添加的系统标签分发到副本安全组中。系统标签以 aws: 为前缀。此外,如果现有安全组的标签与组织的标签策略存在冲突,Firewall Manager 将不会更新现有安全组的标签或创建新的安全组。有关标签策略的信息,请参阅《AWS Organizations 用户指南》中的标签策略

      如果您选择将安全组引用从主要安全组分发给由此策略创建的安全组,则仅当安全组引用在 Amazon VPC 中具有有效的对等连接时,Firewall Manager 才会分发安全组引用。有关此选项的信息,请参阅策略规则设置

    2. 对于主要安全组,选择添加安全组,然后选择要使用的安全组。Firewall Manager 会填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的安全组列表。

      默认情况下,每个策略的主要安全组最大数量为 3。有关该设置的信息,请参阅 AWS Firewall Manager 限额

    3. 对于 策略操作,建议使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用对不合规资源的自动修复。

  10. 选择下一步

  11. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  12. 对于 资源类型,选择要保护的资源的类型。

    对于 EC2 实例资源类型,可以选择修复所有 Amazon EC2 实例,也可以仅修复只有默认主要弹性网络接口 (ENI) 的实例。对于后一个选项,Firewall Manager 不会修复附加有其他 ENI 的实例。相反,在启用自动修复后,Firewall Manager 仅标记这些 EC2 实例的合规状态,而不应用任何修复操作。请前往 安全组策略注意事项和限制 参阅 Amazon EC2 资源类型的其他注意事项和限制。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 对于 共享 VPC 资源,如果除了账户拥有的 VPC 外,您要将策略应用于共享 VPC 中的资源,请选择 包括共享 VPC 中的资源

  15. 选择下一步

  16. 查看策略设置,确保它们满足您的需求,然后选择 创建策略

Firewall Manager 在范围内账户中包含的每个 Amazon VPC 实例中创建主要安全组的副本,不超过每个账户支持的 Amazon VPC 最大限额。Firewall Manager 将副本安全组与每个范围内账户的策略范围内的资源相关联。有关此策略工作方式的更多信息,请参阅使用 Firewall Manager 通用安全组策略

创建 AWS Firewall Manager 内容审核安全组策略

有关内容审核安全组策略的工作原理,请参阅 使用 Firewall Manager 内容审核安全组策略

对于某些内容审核策略设置,您必须提供一个审核安全组以供 Firewall Manager 用作模板。例如,您可能有一个审核安全组,其中包含您在任何安全组中都不允许的所有规则。必须先使用 Firewall Manager 管理员账户创建这些审核安全组,然后才能在策略中使用它们。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。有关信息,请参阅 Amazon VPC 用户指南中的使用安全组

创建内容审核安全组策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于 策略类型,选择 安全组

  5. 对于安全组策略类型,请选择安全组规则的审核和执行

  6. 对于区域,选择一个 AWS 区域。

  7. 选择下一步

  8. 对于 策略名称,输入一个友好名称。

  9. 对于策略规则,请选择要使用的托管或自定义策略规则选项。

    1. 对于配置托管审核策略规则,请执行以下操作:

      1. 配置待审核的安全组规则中,选择要应用审核策略的安全组规则的类型。

      2. 如果您想根据安全组中的协议、端口和 CIDR 范围设置执行诸如审核规则之类的操作,请选择审核过于宽松的安全组规则,然后选择所需的选项。

        对于选择规则允许所有流量,您可以提供自定义应用程序列表来指定要审核的应用程序。有关自定义应用程序列表以及如何在策略中使用它们的信息,请参阅 使用托管列表使用托管列表

        对于使用协议列表的选择,您可以使用现有列表,也可以创建新列表。有关协议列表以及如何在策略中使用这些列表的信息,请参阅 使用托管列表使用托管列表

      3. 如果要根据他们对保留或非保留 CIDR 范围的访问权限来审核高风险,请选择审核高风险应用程序,然后选择所需的选项。

        以下选项相互排斥:只能访问保留 CIDR 范围的应用程序允许访问非保留 CIDR 范围的应用程序。您可以在任何策略中最多选择其中一项。

        对于使用应用程序列表的选择,您可以使用现有列表,也可以创建新列表。有关应用程序列表以及如何在策略中使用它们的信息,请参阅 使用托管列表使用托管列表

      4. 使用覆盖设置可以显式覆盖策略中的其他设置。您可以选择始终允许或始终拒绝特定的安全组规则,无论这些规则是否符合您为该策略设置的其他选项。

        对于此选项,您可以提供一个审核安全组作为允许的规则或拒绝的规则模板。对于审核安全组,选择添加审核安全组,然后选择要使用的安全组。Firewall Manager 会填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的审核安全组列表。策略的审核安全组的默认最大限额为 1。有关增加限额的信息,请参阅 AWS Firewall Manager 限额

    2. 对于配置自定义策略规则,请执行以下操作:

      1. 从规则选项中选择仅允许审核安全组中定义的规则,或是拒绝所有规则。有关此选择的信息,请参阅 使用 Firewall Manager 内容审核安全组策略

      2. 对于审核安全组,选择添加审核安全组,然后选择要使用的安全组。Firewall Manager 会填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的审核安全组列表。策略的审核安全组的默认最大限额为 1。有关增加限额的信息,请参阅 AWS Firewall Manager 限额

      3. 对于 Policy action (策略操作),您必须使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用对不合规资源的自动修复。

  10. 选择下一步

  11. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  12. 对于资源类型,选择要保护的资源的类型。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 查看策略设置,确保它们满足您的需求,然后选择 创建策略

Firewall Manager 会根据您的策略规则设置将审核安全组与 AWS 组织内的安全组进行比较。您可以在 AWS Firewall Manager 策略控制台中查看策略状态。创建策略后,您可以对其进行编辑并启用自动修正,从而使您的审核安全组策略生效。有关此策略工作方式的更多信息,请参阅使用 Firewall Manager 内容审核安全组策略

创建 AWS Firewall Manager 使用情况审核安全组策略

有关使用情况审核安全组策略的工作原理,请参阅 使用 Firewall Manager 使用情况审核安全组策略

创建使用情况审核安全组策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于 策略类型,选择 安全组

  5. 对于安全组策略类型,选择未关联和冗余安全组审核和清理

  6. 对于区域,选择一个 AWS 区域。

  7. 选择下一步

  8. 对于 策略名称,输入一个友好名称。

  9. 对于 策略规则,选择其中一个或全部两个可用选项。

    • 如果您选择此策略范围中的安全组必须至少由一个资源使用,Firewall Manager 将删除它认为未使用的任何安全组。启用此规则时,Firewall Manager 将在您保存策略时最后运行它。

      有关 Firewall Manager 如何确定使用情况和修复时间的详细信息,请参阅 使用 Firewall Manager 使用情况审核安全组策略

      注意

      使用此使用情况审核安全组策略类型时,请避免在短时间内对范围内的安全组的关联状态进行多次更改。否则可能会导致 Firewall Manager 错过相应的事件。

      默认情况下,一旦安全组未使用,Firewall Manager 就会将其视为不符合此策略规则。您可以选择性地指定安全组在视为不合规之前允许的未使用分钟数,最长 525600 分钟(365 天)。您可以使用此设置给自己留出时间将新的安全组与资源关联起来。

      重要

      如果您指定了除默认值 0 以外的分钟数,则必须在 AWS Config 中启用间接关系。否则,您的使用情况审核安全组策略将无法按预期运行。有关 AWS Config 中的间接关系的信息,请参阅AWS Config开发人员指南中的 AWS Config 中的间接关系

    • 如果您选择此策略范围中的安全组必须唯一,则 Firewall Manager 将合并多余的安全组,因此仅有一个安全组与任意资源关联。如果您选择此规则,则 Firewall Manager 将在您保存策略时最先运行它。

  10. 对于 策略操作,建议使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用对不合规资源的自动修复。

  11. 选择下一步

  12. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 如果您尚未将 Firewall Manager 管理员账户排除在策略范围之外,Firewall Manager 会提示您采取此项操作。这样,您将实现手动控制用于常用和审核安全组策略的 Firewall Manager 管理员账户中的安全组。在此对话框中选择您的选项。

  16. 查看策略设置,确保它们满足您的需求,然后选择 创建策略

如果您选择需要唯一的安全组,则 Firewall Manager 在各个范围内的 Amazon VPC 实例中扫描多余的安全组。然后,如果您选择要求每个安全组至少由一个资源使用,Firewall Manager 会扫描在规则中指定分钟内未使用的安全组。您可以在 AWS Firewall Manager 策略控制台中查看策略状态。有关此策略工作方式的更多信息,请参阅使用 Firewall Manager 使用情况审核安全组策略

创建 AWS Firewall Manager 网络 ACL 策略

有关网络 ACL 策略工作方式的信息,请参阅 网络 ACL 策略

要创建网络 ACL 策略,必须知道如何定义与 Amazon VPC 子网配合使用的网络 ACL。有关信息,请参阅《Amazon VPC 用户指南》中的使用网络 ACL 控制指向子网的流量使用网络 ACL

创建网络 ACL 策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,请选择网络 ACL

  5. 对于区域,选择一个 AWS 区域。

  6. 选择下一步

  7. 对于策略名称,请键入策略的描述性名称。

  8. 对于策略规则,请定义要始终运行在 Firewall Manager 为您管理的网络 ACL 中的规则。网络 ACL 可监控和处理入站和出站流量,因此您可以在自己的策略中定义双向规则。

    对于任一方向,定义想要始终先运行的规则以及想要始终最后运行的规则。在 Firewall Manager 管理的网络 ACL 中,账户所有者可定义在第一条和最后一条规则之间运行的自定义规则。

  9. 对于策略操作,如果要识别不合规的子网和网络 ACL,但不采取任何更正措施,请选择识别不符合策略规则的资源,但不进行自动修复。您随后可以更改这些选项。

    若要自动将策略应用于现有的范围内子网,请选择自动修复任何不合规的资源。通过此选项,您还可以指定当策略规则的流量处理行为与网络 ACL 中的自定义规则产生冲突时是否强制修复。无论您是否强制修复,Firewall Manager 都会在其合规性违规中报告存在冲突的规则。

  10. 选择下一步

  11. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何不同的新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  12. 对于资源类型,设置固定为子网

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 查看策略设置,确保它们满足您的需求,然后选择 创建策略

Firewall Manager 根据您的设置创建策略并开始监控和管理范围内的网络 ACL。有关此策略工作方式的更多信息,请参阅网络 ACL 策略

为 AWS Network Firewall 创建AWS Firewall Manager策略

在 Firewall Manager Network Firewall 策略中,您可以使用您在 AWS Network Firewall 中管理的规则组。有关管理规则组的信息,请参阅 Network Firewall 开发人员指南中的AWS Network Firewall规则组

有关 Firewall Manager Network Firewall 策略的信息,请参阅 在 Firewall Manager 中使用 AWS Network Firewall 策略

为 AWS Network Firewall 创建 Firewall Manager 策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于 策略类型,选择 AWS Network Firewall

  5. 防火墙管理类型下,选择您希望 Firewall Manager 如何管理策略的防火墙。从以下选项中进行选择:

    • 分布式 – Firewall Manager 在策略范围内的每个 VPC 中创建和维护防火墙端点。

    • 集中式 – Firewall Manager 在单个检查 VPC 中创建和维护端点。

    • 导入现有防火墙 – Firewall Manager 使用资源集从 Network Firewall 导入现有防火墙。有关资源集的信息,请参阅 在 Firewall Manager 中对资源进行分组

  6. 对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。

  7. 选择下一步

  8. 对于策略名称,请键入策略的描述性名称。Firewall Manager 将策略名称包含在其创建的 Network Firewall 防火墙和防火墙策略的名称中。

  9. AWS Network Firewall策略配置中,像在 Network Firewall 中一样配置防火墙策略。添加您的无状态和有状态规则组,并指定策略的默认操作。您可以选择设置策略的状态规则评测顺序和默认操作以及日志记录配置。有关 Network Firewall 防火墙策略管理的信息,请参阅AWS Network Firewall开发人员指南中的AWS Network Firewall防火墙策略

    在创建 Firewall Manager 网络防火墙策略时,Firewall Manager 会为范围内的账户创建防火墙策略。个人账户管理员可以向防火墙策略添加规则组,但他们无法更改您在此处提供的配置。

  10. 选择下一步

  11. 根据在上一步中选择的防火墙管理类型,执行以下操作之一:

    • 如果您使用的是分布式防火墙管理类型,请在防火墙终端位置下的 AWS Firewall Manager 端点配置中,选择以下选项之一:

      • 自定义端点配置 – Firewall Manager 在您指定的可用区内为策略范围内的每个 VPC 创建防火墙。每个防火墙至少包含一个防火墙端点。

        • 可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

        • 如果要为 Firewall Manager 提供 CIDR 块以用于 VPC 中的防火墙子网,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从 VPC 中可用的 IP 地址中为您选择 IP 地址。

          注意

          AWS Firewall Manager Network Firewall 策略会自动进行自动修正,因此此处不提供不自动修正的选项。

      • 自动配置端点 – Firewall Manager 会自动在可用区中创建防火墙端点,并在您的 VPC 中使用公有子网。

        • 对于防火墙端点配置,请指定 Firewall Manager 如何管理防火墙端点。为了获得高可用性,我们建议使用多个端点。

    • 如果您使用的是集中式防火墙管理类型,请在检查 VPC 配置下的 AWS Firewall Manager端点配置中,输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。

      • 可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

      • 如果要为 Firewall Manager 提供 CIDR 块以用于 VPC 中的防火墙子网,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从 VPC 中可用的 IP 地址中为您选择 IP 地址。

        注意

        AWS Firewall Manager Network Firewall 策略会自动进行自动修正,因此此处不提供不自动修正的选项。

    • 如果您使用的是导入现有防火墙防火墙管理类型,请在资源集中添加一个或多个资源集。资源集定义了您要在本策略中集中管理的组织账户所拥有的现有 Network Firewall 防火墙。要将资源集添加到策略中,必须先使用控制台或 PutResourceSet API 创建资源集。有关资源集的信息,请参阅 在 Firewall Manager 中对资源进行分组。有关从 Network Firewall 导入现有防火墙的更多信息,请参阅导入现有防火墙

  12. 选择下一步

  13. 如果您的策略使用分布式防火墙管理类型,请在路由管理下选择 Firewall Manager 是否监控必须通过相应防火墙端点路由的流量并发出警报。

    注意

    如果您选择监控,则以后无法将该设置更改为关闭。监控将持续运行,直到您删除该策略。

  14. 对于流量类型,可以选择性地添加为了进行防火墙检查而需要路由流量的流量端点。

  15. 对于允许所需的跨可用区流量,如果您启用此选项,则对于没有自己防火墙端点的可用区,Firewall Manager 会将从可用区发送流量到外部进行检查的路由视为合 规路由。具有端点的可用区必须始终检查自己的流量。

  16. 选择下一步

  17. 对于策略作用域,在 AWS 账户 本策略适用于下,选择以下选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  18. Network Firewall 策略的资源类型VPC

  19. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  20. 选择下一步

  21. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  22. 选择下一步

  23. 查看新的政策设置,然后返回需要进行任何调整的页面。

    若您满意所创建的策略,请选择 创建策略AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

为 Amazon Route 53 Resolver DNS 防火墙创建 AWS Firewall Manager 策略

在 Firewall Manager DNS Firewall 策略中,您可以使用在 Amazon Route 53 Resolver DNS 防火墙中管理的规则组。有关管理规则组的信息,请参阅 Amazon Route 53 开发人员指南中的在 DNS 防火墙中管理规则组和规则

有关 Firewall Manager DNS 防火墙策略的信息,请参阅 在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略

为 Amazon Route 53 Resolver DNS 防火墙(控制台)创建 Firewall Manager 策略
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,请选择 Amazon Route 53 Resolver DNS 防火墙

  5. 对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。

  6. 选择下一步

  7. 对于策略名称,请键入策略的描述性名称。

  8. 在策略配置中,在 VPC 的规则组关联中添加您希望 DNS Firewall 首先和最后评测的规则组。您最多可以向策略添加两个规则组。

    在创建 Firewall Manager DNS 防火墙策略时,Firewall Manager 会使用您提供的关联优先级为范围内的 VPC 和账户创建规则组关联。个人账户经理可以在您的第一个和最后一个关联之间添加规则组关联,但他们无法更改您在此处定义的关联。有关更多信息,请参阅 在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略

  9. 选择下一步

  10. 对于适用此策略的 AWS 账户,请按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  11. DNS 防火墙策略的资源类型VPC

  12. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  13. 选择下一步

  14. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  15. 选择下一步

  16. 查看新的政策设置,然后返回需要进行任何调整的页面。

    若您满意所创建的策略,请选择 创建策略AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

为 Palo Alto Networks Cloud NGFW 创建 AWS Firewall Manager 策略

借助 Palo Alto Networks Cloud NGFW 的 Firewall Manager 策略,您可以使用 Firewall Manager 部署 Palo Alto Networks Cloud NGFW 资源,并在您的所有 AWS 账户中集中管理 NGFW 规则堆栈。

有关 Firewall Manager Palo Alto Networks Cloud NGFW 策略的信息,请参阅 使用 Palo Alto Networks Cloud NGFW for Firewall Manager。有关如何配置和管理适用于 Firewall Manager 的 Palo Alto Networks Cloud NGFW 的信息,请参阅 AWS 文档中的 Palo Alto Networks Cloud NGFW

先决条件

为 AWS Firewall Manager 准备您的账户有几个必要步骤。AWS Firewall Manager先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。

要为 Palo Alto Networks Cloud NGFW(控制台)创建 Firewall Manager 策略
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,请选择 Palo Alto Networks Cloud NGFW。如果您还没有在 AWS Marketplace 上订阅 Palo Alto Networks Cloud NGFW 服务,则需要先行订阅。要在 AWS Marketplace 上订阅,请选择 查看 AWS Marketplace 详情

  5. 对于部署模型,选择分布式模型集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。

  6. 对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。

  7. 选择下一步

  8. 对于策略名称,请键入策略的描述性名称。

  9. 在策略配置中,选择要与此策略关联的 Palo Alto Networks Cloud NGFW 防火墙策略。Palo Alto Networks Cloud NGFW 防火墙策略列表包含与您的 Palo Alto Networks Cloud NGFW 租户关联的所有 Palo Alto Networks Cloud NGFW 防火墙策略。有关创建和管理 Palo Alto Networks Cloud NGFW 防火墙策略的信息,请参阅面向 AWS 的 Palo Alto Networks Cloud NGFW 部署指南中的 使用 AWS Firewall Manager 部署面向 AWS 的 Palo Alto Networks Cloud NGFW

  10. 对于 Palo Alto Networks Cloud NGFW 日志记录(可选),可以选择为您的策略记录哪种 Palo Alto Networks Cloud NGFW 日志类型。有关 Palo Alto Networks Cloud NGFW 日志类型的信息,请参阅面向 AWS 的 Palo Alto Networks Cloud NGFW 部署指南中的 在 AWS 上为 Palo Alto Networks Cloud NGFW 配置日志记录

    对于日志记录目标,指定 Firewall Manager 何时应写入日志。

  11. 选择下一步

  12. 配置第三方防火墙端点下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:

    • 如果您为此策略使用分布式部署模型,请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

    • 如果您使用此策略的集中式部署模型,请在检查 VPC 配置下的 AWS Firewall Manager端点配置中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。

      • 可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

  13. 如果要为 Firewall Manager 提供 CIDR 块以用于 VPC 中的防火墙子网,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从 VPC 中可用的 IP 地址中为您选择 IP 地址。

    注意

    AWS Firewall Manager Network Firewall 策略会自动进行自动修正,因此此处不提供不自动修正的选项。

  14. 选择下一步

  15. 对于策略作用域,在 AWS 账户 本策略适用于下,选择以下选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  16. Network Firewall 策略的资源类型VPC

  17. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  18. 对于授予跨账户存取权限,请选择下载 AWS CloudFormation 模板。这将下载一个可用于创建 AWS CloudFormation 堆栈的 AWS CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理 Palo Alto Networks Cloud NGFW 资源的权限。有关堆栈的信息,请参阅 AWS CloudFormation 用户指南中的使用堆栈

  19. 选择下一步

  20. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  21. 选择下一步

  22. 查看新的政策设置,然后返回需要进行任何调整的页面。

    若您满意所创建的策略,请选择 创建策略AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

为 Fortigate 云原生防火墙 (CNF) 即服务创建 AWS Firewall Manager 策略

借助 Fortigate CNF 的 Firewall Manager 策略,您可以使用 Firewall Manager 在所有 AWS 账户中部署和管理 Fortigate CNF 资源。

有关 Firewall Manager Fortigate CNF 策略的信息,请参阅 将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略。有关如何配置 Fortigate CNF 以支持与 Firewall Manager 配合使用的信息,请参阅 Fortinet 文档

先决条件

为 AWS Firewall Manager 准备您的账户有几个必要步骤。AWS Firewall Manager先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。

创建适用于 Fortigate CNF 的 Firewall Manager 策略(控制台)
  1. 使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,选择 Fortigate 云原生防火墙 (CNF) 即服务。如果您还没有订阅AWS Marketplace 中的 Fortigate CNF 服务,则需要先行订阅。要在 AWS Marketplace 上订阅,请选择 查看 AWS Marketplace 详情

  5. 对于部署模型,选择分布式模型集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。

  6. 对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。

  7. 选择下一步

  8. 对于策略名称,请键入策略的描述性名称。

  9. 在策略配置中,选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与您的 Fortigate CNF 租户关联的所有 Fortigate CNF 防火墙策略。有关创建和管理 Fortigate CNF 租户的信息,请参阅 Fortinet 文档

  10. 选择下一步

  11. 配置第三方防火墙端点下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:

    • 如果您为此策略使用分布式部署模型,请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

    • 如果您使用此策略的集中式部署模型,请在检查 VPC 配置下的 AWS Firewall Manager端点配置中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。

      • 可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

  12. 如果要为 Firewall Manager 提供 CIDR 块以用于 VPC 中的防火墙子网,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从 VPC 中可用的 IP 地址中为您选择 IP 地址。

    注意

    AWS Firewall Manager Network Firewall 策略会自动进行自动修正,因此此处不提供不自动修正的选项。

  13. 选择下一步

  14. 对于策略作用域,在 AWS 账户 本策略适用于下,选择以下选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包括我的 AWS 组织下的所有账户

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户,请选择 仅包括指定的账户和组织单位,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  15. Network Firewall 策略的资源类型VPC

  16. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  17. 对于授予跨账户存取权限,请选择下载 AWS CloudFormation 模板。这将下载一个可用于创建 AWS CloudFormation 堆栈的 AWS CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理 Fortigate CNF 资源的权限。有关堆栈的信息,请参阅 AWS CloudFormation 用户指南中的使用堆栈。要创建堆栈,您需要来自 Fortigate CNF 门户网站的账户 ID。

  18. 选择下一步

  19. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  20. 选择下一步

  21. 查看新的政策设置,然后返回需要进行任何调整的页面。

    若您满意所创建的策略,请选择 创建策略AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息