本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Firewall Manager 受管清單
本節說明什麼是受管清單,以及如何使用這些清單。
受管應用程式和通訊協定清單可簡化 AWS Firewall Manager 內容稽核安全群組政策的組態和管理。您可以使用受管清單來定義政策允許和不允許的通訊協定和應用程式。如需內容稽核安全群組政策的相關資訊,請參閱 搭配 Firewall Manager 使用內容稽核安全群組政策。
您可以在內容稽核安全群組政策中使用下列類型的受管清單:
-
Firewall Manager 應用程式清單和通訊協定清單 – Firewall Manager 會管理這些清單。
-
應用程式清單包括
FMS-Default-Public-Access-Apps-Allowed和FMS-Default-Public-Access-Apps-Denied,其中描述應允許或拒絕給一般大眾的常用應用程式。 -
通訊協定清單包含
FMS-Default-Protocols-Allowed,即應允許一般大眾使用的常用通訊協定清單。您可以使用 Firewall Manager 管理的任何清單,但無法編輯或刪除。
-
-
自訂應用程式清單和通訊協定清單 – 您可以管理這些清單。您可以使用所需的設定來建立任一類型的清單。您可以完全控制自己的自訂受管清單,並可視需要建立、編輯和刪除這些清單。
注意
目前,刪除 Firewall Manager 時,不會檢查自訂受管清單的參考。這表示即使作用中政策正在使用自訂受管應用程式清單或通訊協定清單,您也可以將其刪除。這可能會導致政策停止運作。只有在您確認任何作用中政策未參考應用程式清單或通訊協定清單之後,才能將其刪除。
受管清單是 AWS 資源。您可以標記自訂受管清單。您無法標記 Firewall Manager 受管清單。
受管清單版本控制
自訂受管清單沒有版本。當您編輯自訂清單時,參考清單的政策會自動使用更新的清單。
Firewall Manager 受管清單會進行版本化。Firewall Manager 服務團隊會視需要發佈新版本,以便將最佳安全實務套用至清單。
當您在 政策中使用 Firewall Manager 受管清單時,您可以選擇版本控制策略,如下所示:
-
最新可用版本 – 如果您未指定清單的明確版本設定,則您的政策會自動使用最新版本。這是主控台唯一可用的選項。
-
明確版本 – 如果您為清單指定版本,則您的政策會使用該版本。在您修改版本設定之前,您的政策會維持鎖定在您指定的版本。若要指定版本,您必須在主控台外部定義政策,例如透過 CLI或其中一個 SDKs。
如需選擇清單版本設定的詳細資訊,請參閱 在內容稽核安全群組政策中使用受管清單。
在內容稽核安全群組政策中使用受管清單
當您建立內容稽核安全群組政策時,您可以選擇使用受管稽核政策規則。此選項的某些設定需要受管應用程式清單或通訊協定清單。這些設定的範例包括安全群組規則中允許的通訊協定,而應用程式可以存取網際網路。
下列限制適用於使用受管清單的每個政策設定:
-
您最多可以為任何設定指定一個 Firewall Manager 受管清單。根據預設,您最多可以指定一個自訂清單。自訂清單限制是軟配額,因此您可以請求增加。如需詳細資訊,請參閱AWS Firewall Manager 配額。
-
在主控台中,如果您選取 Firewall Manager 受管清單,則無法指定版本。政策一律會使用最新版本的清單。若要指定版本,您必須在主控台外部定義政策,例如透過 CLI或其中一個 SDKs。如需 Firewall Manager 受管清單版本控制的相關資訊,請參閱 受管清單版本控制。
如需透過主控台建立內容稽核安全群組政策的相關資訊,請參閱 建立內容稽核安全群組政策。
