受管理的清單 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

受管理的清單

受管理的應用程式和通訊協定清單可簡化AWS Firewall Manager內容稽核安全群組政策。您可以使用受管理的清單來定義原則允許和禁止的通訊協定和應用程式。如需內容稽核安全群組政策的資訊,請參閱內容稽核安全群組政策

您可以在內容稽核安全性群組原則中使用下列類型的受管理清單:

  • Firewall Manager 應用程式清單和協定清— Firewall Manager 會管理這些清單。

    • 應用程序列表包括FMS-Default-Public-Access-Apps-AllowedFMS-Default-Public-Access-Apps-Denied,其中描述了應該允許或拒絕給公眾的常用應用程序。

    • 通訊協定清單包括FMS-Default-Protocols-Allowed,這是一個應該允許公眾的常用協議列表。您可以使用 Firewall Manager 管理的任何清單,但無法編輯或刪除它。

  • 自訂應用程式清單和協定清單— 您可以管理這些清單。您可以使用您需要的設定來建立任一類型的清單。您可以完全控制自己的自訂受管理清單,並視需要建立、編輯和刪除這些清單。

    注意

    目前,Firewall Manager 不會檢查自訂受管理清單的參考,當您刪除它。這表示即使使用中原則正在使用自訂受管理的應用程式清單或通訊協定清單,您也可以刪除該清單。這可能會導致政策停止運作。只有在確認應用程式清單或通訊協定清單未被任何作用中的原則參考後,才刪除該清單或通訊協定清單。

受管列出AWS的費用。您可以標記自訂受管理清單。您無法標記 Firewall Manager 受管理清單。

列出受管理的列出版本

自訂受管理清單沒有版本。當您編輯自訂清單時,參照清單的策略會自動使用更新的清單。

Firewall Manager 受管理的清單已建立版本。Firewall Manager 服務團隊會視需要發佈新版本,以便將最佳安全性作法套用至清單。

當您在策略中使用 Firewall Manager 受管理的清單時,請依下列方式選擇版本控制策略:

  • 最新版本— 如果您未指定清單的明確版本設定,則您的政策會自動使用最新的版本。這是唯一可透過主控台使用的選項。

  • 明確版本— 如果您指定清單的版本,則您的政策會使用該版本。在您修改版本設定之前,您的原則會保持鎖定為您指定的版本。若要指定版本,您必須在主控台外部定義原則,例如透過 CLI 或其中一個 SDK。

如需如何選擇清單版本設定的詳細資訊,請參閱在內容稽核安全性群組原則中使用受管理的清單

在內容稽核安全性群組原則中使用受管理的清單

當您建立內容稽核安全群組政策時,您可以選擇使用受管理的稽核政策規則。此選項的某些設定需要受管理的應用程式清單或通訊協定清單。這些設定的範例包括安全性群組規則中允許的通訊協定,而且應用程式可以存取網際網路。

下列限制適用於使用受管理清單的每個原則設定:

  • 您最多可以為任何設定指定一個 Firewall Manager 受管理的清單。依預設,您最多可以指定一個自訂清單。自訂清單限制是軟配額,因此您可以要求增加。如需更多詳細資訊,請參閱 AWS Firewall Manager 配額

  • 在主控台中,如果您選取 Firewall Manager 受管理清單,則無法指定版本。政策將永遠使用最新版本的清單。若要指定版本,您必須在主控台外部定義原則,例如透過 CLI 或其中一個 SDK。如需 Firewall Manager 受管理清單版本控制的相關資訊,請參閱列出受管理的列出版本

如需透過主控台建立內容稽核安全群組政策的詳細資訊,請參閱建立內容稽核安全群組政策

建立自訂受管理的應用程式清單

建立自訂受管理的應用程式清單

  1. 前往登入AWS Management Console,然後在開啟 Firewall Manager 主控台。https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇列出應用程式

  3. 在 中列出應用程式頁面,選擇建立應用程式清單

  4. 在 中建立應用程式清單頁面上,為您的列表命名。請勿使用前置字首fms-,因為這是保留給 Firewall Manager。

  5. 指定應用程式,方法是提供通訊協定和連接埠號碼,或是從類型下拉式功能表。為您的應用程式規範命名。

  6. 選擇新增另一個並填寫申請資料,直到完成列表為止。

  7. (選擇性) 將標籤套用至您的清單。

  8. 選擇Save (儲存)以儲存您的清單並返回列出應用程式(憑證已建立!) 頁面上的名稱有些許差異。

建立自訂受管理的通訊協定清單

建立自訂受管理的通訊協定清單

  1. 前往登入AWS Management Console,然後在開啟 Firewall Manager 主控台。https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇通訊協定清單

  3. 在 中通訊協定清單頁面,選擇建立通訊協定清單

  4. 在通訊協定清單建立頁面中,為您的清單命名。請勿使用前置字首fms-,因為這是保留給 Firewall Manager。

  5. 指定通訊協定。

  6. 選擇新增另一個並填寫通訊協定資訊,直到您完成清單為止。

  7. (選擇性) 將標籤套用至您的清單。

  8. 選擇Save (儲存)以儲存您的清單並返回通訊協定清單(憑證已建立!) 頁面上的名稱有些許差異。

檢視受管清單

檢視應用程式清單或通訊協定清單

  1. 前往登入AWS Management Console,然後在開啟 Firewall Manager 主控台。https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇列出應用程式通訊協定清單

    此頁面會顯示所有可供您使用的選定類型清單。Firewall Manager 管理的清單具有Y中的受管理清單」欄位。

  3. 若要查看清單的詳細資訊,請選擇該清單的名稱。詳細資料頁面會顯示清單的內容和任何標籤。

    對於 Firewall Manager 受管理的清單,您也可以選取版本下拉式功能表。

刪除自訂受管清單

您可以刪除自訂受管理清單。您無法編輯或刪除 Firewall Manager 管理員管理的清單。

注意

目前,Firewall Manager 不會檢查自訂受管理清單的參考,當您刪除它。這表示即使使用中原則正在使用自訂受管理的應用程式清單或通訊協定清單,您也可以刪除該清單。這可能會導致政策停止運作。只有在確認應用程式清單或通訊協定清單未被任何作用中原則參考後,才會刪除該清單或通訊協定清單。

刪除自訂受管理的應用程式或通訊協定清單

  1. 前往登入AWS Management Console,然後在開啟 Firewall Manager 主控台。https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 請確定您要刪除的清單未在任何稽核安全群組政策中使用,請執行下列動作:

    1. 在導覽窗格中,選擇 Security policies (安全群組政策)

    2. 在 中AWS Firewall Manager政策頁面上,選取並編輯您的稽核安全性群組,並移除您要刪除之自訂清單的任何參照。

      如果您刪除稽核安全性群組原則中使用的自訂受管理清單,則使用該清單的原則可能會停止運作。

  3. 在導覽窗格中,選擇列出應用程式通訊協定清單,具體取決於您要刪除的清單類型。

  4. 在清單頁面,選擇您想要刪除的自訂清單,然後選擇刪除