步驟 3:建立並套用AWS Firewall ManagerNetwork Firewall 政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:建立並套用AWS Firewall ManagerNetwork Firewall 政策

完成先決條件之後,您就可以建立AWS Firewall ManagerNetwork Firewall 政策。Network Firewall 原則提供集中控制的AWS Network Firewall防火牆,針對您整個AWS組織。它還定義了AWS 帳戶和適用的資源。

如需 Firewall Manager 如何管理 Network Firewall 原則的相關資訊,請參閱AWS Network Firewall 政策:

建立 Firewall Manager Network Firewall 政策 (主控台)

  1. 登入。AWS Management Console,然後在開啟 Firewall Manager 主控台,然後在開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循說明進行,然後回到此步驟,以建立 Network Firewall 政策。

  4. 選擇建立安全政策

  5. 針對政策類型,選擇 AWS Network Firewall

  6. 適用於Region (區域)下,選擇AWS 區域。

  7. 選擇 Next (下一步)

  8. 適用於政策名稱中,輸入描述性的名稱。

  9. 原則組態可讓您定義防火牆原則。這與您在AWS Network Firewall主控台。您可以新增您要在政策中使用的規則群組,並提供預設無狀態動作。在本教學課程中,請將此原則設定為 [Network Firewall] 中的防火牆原則。

    注意

    自動修復AWS Firewall ManagerNetwork Firewall 原則,因此您不會在此看到選擇不自動補救的選項。

  10. 選擇 Next (下一步)

  11. 適用於防火牆端點中,選擇多個防火牆端點。此選項可為您的防火牆提供高可用性。當您建立原則時,Firewall Manager 會在您有要保護的公用子網路的每個可用區域中建立防火牆子網路。

  12. 適用於AWS Network Firewall路由組態中,選擇監控,讓 Firewall Manager 監控 VPC 是否有路由組態違規,並提供修復建議警示您,以協助您使路由符合規範。或者,如果您不想讓 Firewall Manager 監視路由設定並接收這些警示,請選擇關閉

    注意

    監控提供您由於路由設定錯誤而不相容資源的詳細資料,並從 Firewall Manager 建議修復動作GetViolationDetailsAPI。例如,如果流量未經過策略所建立的防火牆端點路由,Network Firewall 會警示您。

    警告

    如果選擇監控,則無法將其更改為關閉在未來的同樣的政策。您必須建立新政策。

  13. 適用於流量類型,選取加入防火牆政策,透過網際網路閘道路由流量。

  14. AWS 帳戶受此政策影響可讓您指定要納入或排除的帳戶,縮小範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  15. 所以此Resource Type (資源類型)Network Firewall 原則永遠是VPC

  16. Resources (資源) 可讓您指定要納入或排除的資源標籤,縮小範圍。若要使用標記,您需要先標記您的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器。在本教學課程中,請選擇 Include all resources that match the selected resource type (納入符合選取之資源類型的所有資源)

  17. 選擇 Next (下一步)

  18. 檢閱您的政策設定,然後選擇建立政策

    在 中AWS Firewall Manager政策窗格中,應會列出您的政策。原則可能需要幾分鐘的時間建立。在建立程序完成之前,原則會指出它處於擱置狀態。當原則就緒時,狀態會以範圍內帳戶的計數進行更新。您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱「檢視符合性資訊AWS Firewall Manager政策」。

  19. 完成探索後,如果不想要保留本教學課程建立的政策,請選擇政策名稱、選擇刪除中,選擇清除此策略所建立的資源。,最後選擇刪除

如需 Firewall Manager Network Firewall 政策的詳細資訊,請參閱AWS Network Firewall 政策: