步驟 3:建立並套用強制 CNF 政策 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:建立並套用強制 CNF 政策

完成必要條件之後,您可以建立一個 AWS Firewall Manager 強制 CNF 策略。

如需有關 Fortigate CNF Firewall Manager 員原則的詳細資訊,請參閱。強制雲端原生防火牆 (CNF) 即服務政策

建立 Firewall Manager 員策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對「策略類型」,選擇「強制 CNF」。如果您尚未在 AWS Marketplace 中訂閱 Fortigate CNF 服務,則需要先這樣做。若要在 AWS Marketplace 中訂閱,請選擇 [檢視 AWS Marketplace 詳細資料]。

  5. 對於部署模型,請選擇分散式模型集中式模型。部署模型會決定 Firewall Manager 員如何管理策略的端點。使用分散式模型時,Firewall Manager 員會在策略範圍內的每個 VPC 中維護防火牆端點。使用集中式模型,Firewall Manager 員會在檢查 VPC 中維護單一端點。

  6. 在「區域」中,選擇一個 AWS 區域。若要保護多個區域中的資源,您必須為每個區域建立個別的政策。

  7. 選擇下一步

  9. 在策略配置中,選擇要與此策略關聯的 Fortigate CNF 防火牆策略。Fortigate CNF 防火牆策略列表包含與您的 Fortigate CNF 租戶相關聯的所有 Fortigate CNF 防火牆策略。如需有關建立和管理 Fortigate CNF 防火牆策略的詳細資訊,請參閱更多 CNF 文件。

  10. 選擇下一步

  11. 在 [設定協力廠商防火牆端點] 底下,執行下列其中一項動作,視您使用的是分散式或集中式部署模型來建立防火牆端點而定:

    • 如果您針對此原則使用分散式部署模型,請在可用區域下選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

    • 如果您使用此原則的集中式部署模型,請在 [檢查 VPC 組態] 下的AWS Firewall Manager 端點定中,輸入檢查 VPC 擁有者的 AWS 帳戶識別碼,以及檢查 VPC 的 VPC ID。

      • 可用區域下,選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

  12. 選擇下一步

  13. 針對策略範圍,在AWS 帳戶 此原則適用於下方,選擇如下選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

    強制 CNF 策略的資源類型為 VPC。

  14. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  15. 對於授予跨帳戶存取權,請選擇 [下載 AWS CloudFormation 範本]。這會下載可用來建立 AWS CloudFormation 堆疊的 AWS CloudFormation 範本。此堆棧創建一個 AWS Identity and Access Management 角色,該角色授予 Firewall Manager 器跨帳戶管理 Fortigate CNF 資源的權限。如需有關堆疊的資訊,請參閱使用指南中的AWS CloudFormation 使用堆疊。要創建一個堆棧,您需要來自 Fortigate CNF 門戶的帳戶 ID。

  16. 選擇下一步

  17. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  18. 選擇下一步

  19. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您檢閱原則在啟用前所做的變更。

  20. 當您滿意時,選擇 建立政策

    在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

如需有關 Firewall Manager 員強制 CNF 策略的詳細資訊,請參閱。強制雲端原生防火牆 (CNF) 即服務政策