步驟 3:建立並套用 Network Firewall 政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:建立並套用 Network Firewall 政策

完成必要條件之後,您可以建立 AWS Firewall Manager Network Firewall 策略。Network Firewall 原則可為整個AWS組織提供集中控制的AWS Network Firewall防火牆。它也會定義防火牆套用的AWS 帳戶和資源。

如需 Firewall Manager 員如何管理 Network Firewall 策略的相關資訊,請參閱AWS Network Firewall 政策:

建立 Firewall Manager 員 Network Firewall 策略(主控台)
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 如果您尚未符合先決條件,主控台會顯示如何修正任何問題的指示。遵循指示,然後返回此步驟,建立 Network Firewall 策略。

  4. 選擇建立安全性原則

  5. 針對政策類型,選擇 AWS Network Firewall

  6. 在「區域」中,選擇一個AWS 區域。

  7. 選擇下一步

  8. 策略名稱中,輸入描述性名稱。

  9. 策略配置可讓您定義防火牆策略。這與您在AWS Network Firewall控制台中使用的過程相同。您可以新增要在原則中使用的規則群組,並提供預設的無狀態動作。在本教學課程中,請像設定 Network Firewall 中的防火牆策略一樣設定此原則。

    注意

    AWS Firewall ManagerNetwork Firewall 策略會自動進行自動修復,因此您不會在此處看到選擇不 auto 動修復的選項。

  10. 選擇下一步

  11. 對於防火牆端點,請選擇「多個防火牆端點 此選項可為您的防火牆提供高可用性。當您建立原則時,Firewall Manager 會在每個可用區域中建立防火牆子網路,您可以在其中保護公用子網路。

  12. 對於AWS Network Firewall路由組態,請選擇監控讓 Firewall Manager 監控您的 VPC 是否存在路由組態違規,並提供修正建議警示您,以協助您使路由符合規範。或者,如果您不想讓「Firewall Manager 員」監控路由設定並接收這些警示,請選擇「關閉」。

    注意

    監控可為您提供由於錯誤的路由設定而導致不合規資源的詳細資訊,並從 Firewall Manager 員 GetViolationDetails API 建議修復動作。例如,如果流量未經由您的策略所建立的防火牆端點路由傳送,則 Network Firewall 會警示您。

    警告

    如果您選擇 [監控],您將來無法針對相同原則 future 其變更為 [關閉]。您必須建立新策略。

  13. 對於流量類型,請選取新增至防火牆策略以透過網際網路閘道路由傳送流量。

  14. AWS 帳戶受此策略影響可讓您指定要包含或排除的帳戶,以縮小策略的範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  15. Network Firewall 策略的資源類型一律為 VPC

  16. Resources (資源) 可讓您指定要納入或排除的資源標籤,縮小範圍。若要使用標記,您需要先標記您的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器。在本教學課程中,請選擇 Include all resources that match the selected resource type (納入符合選取之資源類型的所有資源)

  17. 選擇下一步

  18. 檢閱您的原則設定,然後選擇 [建立原則]。

    在 [原AWS Firewall Manager則] 窗格中,應該會列出您的原則。原則可能需要幾分鐘的時間建立。在建立程序完成之前,原則會指出它處於擱置狀態。策略就緒後,狀態會隨著範圍內帳戶的計數進行更新。您可以選擇策略名稱來探索帳號和資源的符合性狀態。如需相關資訊,請參閱 檢視AWS Firewall Manager原則的符合性資訊

  19. 完成探索後,如果您不想保留為此教學課程建立的原則,請選擇原則名稱,選擇 [刪除],然後選擇 [清除此原則建立的資源]。 ,最後選擇刪除

如需 Firewall Manager 員 Network Firewall 策略的詳細資訊,請參閱AWS Network Firewall 政策: