受管理清單 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

受管理清單

受管理的應用程式和通訊協定清單可簡化AWS Firewall Manager內容稽核安全性群組原則的設定與管理 您可以使用受管理的清單來定義原則允許和不允許的通訊協定和應用程式。如需有關內容稽核安全性群組原則的資訊,請參閱內容稽核安全群組政策

您可以在內容稽核安全性群組原則中使用下列類型的受管理清單:

  • Firewall Manager 員應用程式清單和通訊協定清單 — Firewall Manager 員會管理

    • 應用程序列表包括FMS-Default-Public-Access-Apps-AllowedFMS-Default-Public-Access-Apps-Denied,描述應允許或拒絕給普通大眾的常用應用程序。

    • 通訊協定清單包括FMS-Default-Protocols-Allowed應允許公眾使用的常用通訊協定清單。您可以使用「Firewall Manager 員」管理的任何清單,但無法編輯或刪除它。

  • 自訂應用程式清單和通訊協定清單 — 您管理這些清單。您可以使用所需的設置創建任何類型的列表。您可以完全控制自己的自訂受管清單,並且可以視需要建立、編輯和刪除這些清單。

    注意

    目前,當您刪除自訂受管理清單時,Firewall Manager 員不會檢查其參考。這表示您可以刪除自訂受管理的應用程式清單或通訊協定清單,即使該清單正由作用中的原則使用中。這可能會造成原則停止運作。只有在確認應用程式清單或通訊協定清單未被任何使用中原則參照之後,才刪除該清單。

受管理的清單是AWS資源。您可以標記自訂受管清單。您無法標記 Firewall Manager 員管理清單。

受管理清單版本

自訂受管清單沒有版本。當您編輯自訂清單時,參照該清單的策略會自動使用更新的清單。

Firewall Manager 員管理清單已建立版本化。Firewall Manager 員服務團隊會視需要發佈新版本,以便將最佳安全性做法套用至清單。

當您在策略中使用 Firewall Manager 員受管理的清單時,您可以按如下方式選擇版本控制策略:

  • 最新可用版本 — 如果您未為清單指定明確的版本設定,則您的原則會自動使用最新版本。這是通過控制台可用的唯一選項。

  • 明確版本 — 如果您為清單指定版本,則您的策略會使用該版本。您的原則會保持鎖定至您指定的版本,直到您修改版本設定為止。若要指定版本,您必須在主控台外部定義原則,例如透過 CLI 或其中一個 SDK。

如需有關為清單選擇版本設定的更多資訊,請參閱在內容稽核安全性群組原則中使用受管理的清單

在內容稽核安全性群組原則中使用受管理的清單

當您建立內容稽核安全性群組原則時,您可以選擇使用受管理的稽核策略規則。此選項的某些設定需要受管理的應用程式清單或通訊協定清單。這些設定的範例包括安全性群組規則中允許的通訊協定,而應用程式可以存取網際網路。

下列限制適用於使用受管理清單的每個原則設定:

  • 您最多可以為任何設定指定一個「Firewall Manager 員」管理清單。依預設,您最多可以指定一個自訂清單。自訂清單限制是軟配額,因此您可以要求增加配額。如需詳細資訊,請參閱 AWS Firewall Manager 配額

  • 在主控台中,如果您選取「Firewall Manager 員」受管理清單,則無法指定版本。政策將永遠使用最新版本的清單。若要指定版本,您必須在主控台外部定義原則,例如透過 CLI 或其中一個 SDK。如需有關「Firewall Manager 員管理清單」之版本控制的資訊受管理清單版本

如需透過主控台建立內容稽核安全性群組原則的詳細資訊,請參閱建立內容稽核安全群組政策

建立自訂受管理應用程式清單

建立自訂受管理的應用程式清單
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 [應用程式清單]。

  3. 應用程式清單頁面中,選擇建立應用程式清單

  4. 在 [建立應用程式清單] 頁面中,為您的清單命名。請勿使用前置詞,fms-因為這是為 Firewall Manager 員保留的。

  5. 提供通訊協定和連接埠號碼,或從型下拉式清單中選取應用程式,以指定應用程式。為您的應用程式規格命名。

  6. 視需要選擇 [新增其他],然後填寫申請資訊,直到您完成清單為止。

  7. (選擇性) 將標籤套用至清單。

  8. 選擇 [儲存] 以儲存清單並返回 [應用程式清單] 頁面。

建立自訂受管通訊協定清單

建立自訂受管理的通訊協定清單
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在瀏覽窗格中,選擇 [通訊協定清單]。

  3. 在 [協定清單] 頁面中,選擇 [建立通訊協定清單]

  4. 在通訊協定清單建立頁面中,為您的清單命名。請勿使用前置詞,fms-因為這是為 Firewall Manager 員保留的。

  5. 指定通訊協定。

  6. 視需要選擇 [新增其他通訊協定],然後填入通訊協定資訊,直到您完成清單為止。

  7. (選擇性) 將標籤套用至清單。

  8. 選擇 [儲存] 以儲存清單並返回 [通訊協定清單] 頁面。

檢視受管理清單

若要檢視應用程式清單或通訊協定清單
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在瀏覽窗格中,選擇 [應用程式清單] 或 [通訊協定清單

    此頁面會顯示可供您使用的所選類型的所有清單。「Firewall Manager 員」管理的清單ManagedList欄中有一個 Y

  3. 若要查看清單的詳細資訊,請選擇其名稱。詳細資訊頁面會顯示清單的內容和任何標籤。

    對於「Firewall Manager 員」管理清單,您也可以選取「版本」下拉式清單來查看可用的本。

刪除自訂受管清單

您可以刪除自訂受管清單。您無法編輯或刪除 Firewall Manager 員管理的清單。

注意

目前,當您刪除自訂受管理清單時,Firewall Manager 員不會檢查其參考。這表示您可以刪除自訂受管理的應用程式清單或通訊協定清單,即使該清單正由作用中的原則使用中。這可能會造成原則停止運作。只有在確認應用程式清單或通訊協定清單未被任何使用中原則參考之後,才刪除該清單。

刪除自訂受管理的應用程式或通訊協定清單
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 請執行下列動作,確定您要刪除的清單未在任何稽核安全性群組原則中使用:

    1. 在導覽窗格中,選擇 Security policies (安全群組政策)

    2. AWS Firewall Manager策略頁面中,選取並編輯您的稽核安全性群組,然後移除您要刪除之自訂清單的任何參考。

      如果您刪除稽核安全性群組原則中正在使用的自訂受管理清單,則使用該清單的原則可能會停止運作。

  3. 在導覽窗格中,選擇 [應用程式清單] 或 [通訊協定清單],視您要刪除的清單類型而定。

  4. 在清單頁面中,選取您要刪除的自訂清單,然後選擇 [刪除]。