本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:创建和应用 Fortigate CNF 策略
完成先决条件后,您可以创建 AWS Firewall Manager Fortigate CNF 策略。
有关 Fortigate CNF 的 Firewall Manager 策略的更多信息,请参阅 Fortigate 云原生防火墙 (CNF) 即服务策略。
创建适用于 Fortigate CNF 的 Firewall Manager 策略(控制台)
-
AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件。
-
在导航窗格中,选择 安全策略。
-
选择 创建策略。
-
对于策略类型,请选择 Fortigate CNF。如果你还没有在 Marketpl AWS ace 上订阅 Fortigate CNF 服务,则需要先订阅。要在 AWS Marketplace 上订阅,请选择 “查看 AWS 商城详情”。
对于部署模型,选择分布式模型或集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。
-
对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
-
选择下一步。
-
在策略配置中,选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与您的 Fortigate CNF 租户关联的所有 Fortigate CNF 防火墙策略。有关创建和管理 Fortigate CNF 防火墙策略的信息,请参阅 Fortinet CNF 文档
。 -
选择下一步。
-
在配置第三方防火墙端点下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:
-
如果您为此策略使用分布式部署模型,请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。
-
如果您使用此策略的集中式部署模型,请在检查 VPC 配置下的 AWS Firewall Manager 端点配置中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。
-
在可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。
-
-
-
选择下一步。
-
对于策略作用域,在 AWS 账户 本策略适用于下,选择以下选项:
-
如果要将该政策应用于组织中的所有账户,请保留默认选项 “包括我的 AWS 组织下的所有账户”。
-
如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位 (OU) 中的帐户,请选择 “仅包括指定的帐户和组织单位”,然后添加要包括的帐户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。
-
如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位 (OU) 之外的所有账户或组织单位,请选择排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和组织单位。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。
Fortigate CNF 策略的资源类型是 VPC。
-
-
对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。您可以使用 “包含” 或 “排除”,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器。
如果输入多个标签,则资源必须具有要包括或排除的所有标签。
资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。
-
对于授予跨账户存取权限,请选择下载 AWS CloudFormation 模板。这将下载一个可用于创建 AWS CloudFormation 堆栈的 AWS CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理 Fortigate CNF 资源的权限。有关堆栈的信息,请参阅 AWS CloudFormation 用户指南中的使用堆栈。要创建堆栈,您需要来自 Fortigate CNF 门户网站的账户 ID。
-
选择下一步。
-
对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要进行的更改。
-
若您满意所创建的策略,请选择 创建策略。
AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息
有关 Firewall Manager Fortigate CNF 策略的更多信息,请参阅 Fortigate 云原生防火墙 (CNF) 即服务策略。