步驟 2:建立並套用 AWS WAF 原則 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:建立並套用 AWS WAF 原則

Firewall Manager 員 AWS WAF 策略包含您要套用至資源的規則群組。Firewall Manager 員會在您套用策略的每個帳戶中建立 Firewall Manager 員 Web ACL。除了您已定義的規則群組之外,個別帳戶管理員還可以將規則和規則群組新增至產生的 Web ACL。如需有關 Firewall Manager 員 AWS WAF 策略的資訊,請參閱 AWS WAF 政策

建立 Firewall Manager 員 AWS WAF 策略(主控台)

AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  1. 在導覽窗格中,選擇 Security policies (安全群組政策)

  2. 選擇建立政策

  3. 針對政策類型,選擇 AWS WAF

  4. 在「區域」中,選擇一個 AWS 區域。要保護 Amazon CloudFront 分佈,請選擇全球

    若要保護多個區域中的資源 ( CloudFront 散佈除外),您必須為每個區域建立個別的 Firewall Manager 員政策。

  5. 選擇下一步

  6. 策略名稱中,輸入描述性名稱。Firewall Manager 員會在其管理的 Web ACL 名稱中包含策略名稱。Web ACL 名稱FMManagedWebACLV2-後面接著您在此處輸入的策略名稱-,以及 Web ACL 建立時間戳記 (以 UTC 毫秒為單位)。例如 FMManagedWebACLV2-MyWAFPolicyName-1621880374078

    重要

    網頁 ACL 名稱在建立之後就無法變更。如果您更新策略的名稱,Firewall Manager 員將不會更新關聯的 Web ACL 名稱。若要讓 Firewall Manager 員使用不同名稱建立 Web ACL,您必須建立新策略。

  7. Policy rules (政策規則) 下,針對 First rule groups (第一個規則群組),選擇 Add rule groups (新增規則群組)。展開受AWS 管規則群組。對於 Core rule set (核心規則集),請切換 Add to web ACL (新增至 Web ACL)。對於AWS 已知錯誤的輸入,切換「新增至 Web ACL」。選擇 Add rules (新增規則)

    對於 Last rule groups (最後一個規則群組),選擇 Add rule groups (新增規則群組)。展開受AWS 管規則群組,並針對 Amazon IP 信譽清單切換「新增至網頁 ACL」。選擇 Add rules (新增規則)

    第一個規則群組下,選取核心規則集,然後選擇下移。 AWS WAF 在評估核心規則集之前,針對AWS 已知的錯誤輸入規則群組評估 Web 要求。

    您也可以視需要使用 AWS WAF 主控台建立自己的 AWS WAF 規則群組。您建立的任何規則群組都會顯示在 [描述原則:新增規則群組] 頁面中的規則群組下方。

    您透過 Firewall Manager 管理的第一個和最後一個 AWS WAF 規則群組的名稱分別以PREFMManaged-或開頭POSTFMManaged-,後跟 Firewall Manager 員原則名稱,以及規則群組建立時間戳記 (以 UTC 毫秒為單位)。例如 PREFMManaged-MyWAFPolicyName-1621880555123

  8. 保留 Web ACL 的預設動作為 Allow (允許)

  9. Policy action (政策動作) 保留為預設狀態,即不自動修補不合規的資源。您可於稍後變更此選項。

  10. 選擇下一步

  11. 針對 Policy scope (政策範圍),您可以提供帳戶的設定、資源類型和用以識別您要套用政策之資源的標記。對於本教學課程,請保留AWS 帳戶資源設定,然後選擇一或多個資源類型。

  12. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  13. 選擇下一步

  14. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  15. 選擇下一步

  16. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您在啟用政策之前檢閱原則所做的變更。

  17. 當您滿意時,選擇 建立政策

    在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊