选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

设置 AWS Firewall ManagerAWS Network Firewall 策略

PDF
RSS
聚焦模式
设置 AWS Firewall ManagerAWS Network Firewall 策略 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
步骤 1:完成先决条件步骤 2:创建要在策略中使用的 Network Firewall 规则组步骤 3:创建和应用 Network Firewall 策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Firewall Manager 要使用在组织中启用 AWS Network Firewall 防火墙,请按顺序执行以下步骤。有关 Firewall Manager Network Firewall 策略的信息,请参阅 在 Firewall Manager 中使用 AWS Network Firewall 策略

步骤 1:完成先决条件

为 AWS Firewall Manager准备您的账户有几个必要步骤。AWS Firewall Manager先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。

步骤 2:创建要在策略中使用的 Network Firewall 规则组

要学习本教程,您应该熟悉 AWS Network Firewall 并知道如何配置其规则组和防火墙策略。

您必须在 Network Firewall 中至少有一个要用于 AWS Firewall Manager 策略的规则组。如果您尚未在 Network Firewall 中创建规则组,请立即创建。有关使用 Network Firewall 的信息,请参阅 AWS Network Firewall 开发人员指南

步骤 3:创建和应用 Network Firewall 策略

完成先决条件后,您将创建一个 AWS Firewall Manager Network Firewall 策略。Network Firewall 策略为您的整个 AWS 组织提供集中控制的 AWS Network Firewall 防火墙。它还定义了防火墙适用的 AWS 账户 和资源。

有关 Firewall Manager 如何管理 Network Firewall 策略的更多信息,请参阅 在 Firewall Manager 中使用 AWS Network Firewall 策略

创建 Firewall Manager Network Firewall 策略(控制台)

  1. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  2. 在导航窗格中,选择 安全策略

  3. 如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建 Network Firewall 策略。

  4. 选择创建安全策略

  5. 对于 策略类型,选择 AWS Network Firewall

  6. 在 “区域” 中,选择一个 AWS 区域。

  7. 选择下一步

  8. 对于策略名称,请键入策略的描述性名称。

  9. 策略配置允许您定义防火墙策略。这与您在 AWS Network Firewall 控制台中使用的过程相同。您可以添加要在策略中使用的规则组,并提供默认的无状态操作。在本教程中,配置此策略的过程和在 Network Firewall 中配置防火墙策略的过程一样。

    注意

    Network Fire AWS Firewall Manager wall 策略会自动进行自动修复,因此您不会在此处看到选择不自动修复的选项。

  10. 选择下一步

  11. 对于防火墙端点,请选择多个防火墙端点。此选项可为您的防火墙提供高可用性。创建策略时,Firewall Manager 会在每个您要保护公有子网的可用区中创建一个防火墙子网。

  12. 对于AWS Network Firewall 路由配置,请选择 “监控”,让 Firewall Manager 监控您的VPCs路由配置违规情况,并提醒您补救建议,以帮助您使路由合规。或者,如果您不想让 Firewall Manager 监控您的路由配置并接收这些警报,请选择关闭

    注意

    监控可为您提供有关由于路由配置错误而导致的不合规资源的详细信息,并建议通过 Firewall Manager 采取补救措施。GetViolationDetails API例如,如果流量未通过策略创建的防火墙端点进行路由,则 Network Firewall 会发出警报。

    警告

    如果您选择监控,则将来无法将该策略更改为关闭。为此,您必须创建新的策略。

  13. 对于流量类型,选择添加到防火墙策略以通过互联网网关进行流量路由。

  14. AWS 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户

    Network Firewall 策略的资源类型始终为VPC

  15. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 AWS Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  16. 选择下一步

  17. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  18. 选择下一步

  19. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  20. 若您满意所创建的策略,请选择 创建策略

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

  21. 在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、删除清除此策略创建的资源,最后选择删除

有关 Firewall Manager Network Firewall 策略的更多信息,请参阅 在 Firewall Manager 中使用 AWS Network Firewall 策略

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。