本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Fortigate 云原生防火墙 (CNF) 即服务是一项第三方防火墙服务,您可以将其用于您的 AWS Firewall Manager 策略。使用 Fortigate f CNF or Firewall Manager,您可以在所有账户中创建和集中部署 Fortigate CNF 资源和策略集。 AWS AWS Firewall Manager 要使用启用 Fortigate CNF 策略,请按顺序执行以下步骤。有关 Fortigate CNF 策略的更多信息,请参阅。将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略
步骤 1:完成一般先决条件
为 AWS Firewall Manager准备您的账户有几个必要步骤。AWS Firewall Manager先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。
第 2 步:完成 Fortigate CNF 策略的先决条件
要使用 Fortigat CNF e 策略,您还必须完成其他强制性步骤。Fortigate 云原生防火墙 (CNF) 即服务策略先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。
步骤 3:创建和应用 Fortigate 策略 CNF
完成先决条件后,您将创建一个 AWS Firewall Manager Fortigate 策略CNF。
有关 Fortigate 的 Firewall Manager 策略的更多信息CNF,请参阅。将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略
为 FortigateCNF(控制台)创建 Firewall Manager 策略
-
AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件。
-
在导航窗格中,选择 安全策略。
-
选择创建策略。
-
对于策略类型,请选择 Fortigate CNF。如果你还没有在 Marketpl AWS ace 上订阅 Fortigate CNF 服务,则需要先订阅。要在 AWS Marketplace 上订阅,请选择 “查看 AWS 商城详情”。
对于部署模型,选择分布式模型或集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。在分布式模型中,Firewall Manager 会维护策略范围内的每个VPC防火墙端点。在集中式模式下,Firewall Manager 在检查中维护单个端点VPC。
-
对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
-
选择下一步。
-
在策略配置中,选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与你的 Fortigate 租户关联的所有 Fortigate CNF 防火墙策略。CNF有关创建和管理 Fortigate CNF 防火墙策略的信息,请参阅 F or CNF
tigate 文档。 -
选择下一步。
-
在配置第三方防火墙端点下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:
-
如果您为此策略使用分布式部署模型,请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。
-
如果您使用此策略的集中部署模式,请在检查配置下的AWS Firewall Manager 端点VPC配置中,输入检查VPC所有者的 AWS 账户 VPC ID 和检查的 ID VPC。
-
在可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。
-
-
-
选择下一步。
-
对于策略作用域,在 AWS 账户 本策略适用于下,选择以下选项:
-
如果要将该政策应用于组织中的所有账户,请保留默认选项 “包括我的 AWS 组织下的所有账户”。
-
如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “仅包括指定的帐户和组织单位”,然后添加要包括的帐户。OUs指定 OU 等同于指定 OU 及其任何子组织中的所有帐户OUs,包括任何子账户OUs和稍后添加的帐户。
-
如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择排除指定的账户和组织单位,并包括所有其他账户和组织单位OUs,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户OUs,包括任何子账户OUs和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时OUs,Firewall Manager 会自动将策略应用于新帐户。
Fortigate CNF 策略的资源类型为。VPC
-
-
对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 AWS Firewall Manager 策略范围。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
-
对于授予跨账户存取权限,请选择下载 AWS CloudFormation 模板。这将下载一个可用于创建 AWS CloudFormation 堆栈的 AWS CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理 Fortig CNF ate 资源的权限。有关堆栈的信息,请参阅 AWS CloudFormation 用户指南中的使用堆栈。要创建堆栈,你需要来自 Fortigate 门CNF户的账户 ID。
-
选择下一步。
-
对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。
-
若您满意所创建的策略,请选择 创建策略。
AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息
有关 Firewall Manager Fortigate CNF 策略的更多信息,请参阅。将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略
