本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 4 步:创建并应用Amazon Firewall ManagerAmazon WAFClassic 策略
这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAFClassic 资源Amazon WAF。
对于最新版本的Amazon WAF,请参阅Amazon WAF。
在创建规则组后,您将创建 Amazon Firewall Manager Amazon WAF 策略。Firewall ManagerAmazon WAF策略包含您要应用于资源的规则组。
创建 Firewall ManagerAmazon WAF策略(控制台)
-
在您创建规则组(上一个过程第 3 步:创建规则组中的最后一步)后,控制台会显示 Rule group summary (规则组摘要) 页面。选择 Next。
-
对于 Name (名称),输入一个易于理解的名称。
-
对于 Policy type (策略类型),选择 WAF。
-
适用于区域中,选择Amazon Web Services 区域。为了保护 Amazon CloudFront 资源,请选择服务全球。
为了保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。
-
选择要添加的规则组,然后选择 Add rule group (添加规则组)。
-
一个策略有两个可能的操作:按规则组设置的操作和计数。如果您要测试策略和规则组,请将操作设置为 Count (计数)。此操作会覆盖该策略中包含的规则组指定的任何阻止 操作。即,如果将策略的操作设置为 Count (计数),则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 Action set by rule group (由规则组设置的操作),则会使用该策略中规则组的操作。在本教程中,请选择 Count (计数)。
-
选择 Next。
-
如果您希望仅在策略中包含特定账户,或者仅从策略中排除特定账户,请选择 Select accounts to include/exclude from this policy (optional) (选择要在此策略中包含/排除的账户 (可选))。选择 Include only these accounts in this policy (仅在此策略中包含这些账户) 或 Exclude these accounts from this policy (仅从此策略中排除这些账户)。您只能选择一个选项。选择 Add。选择要包含或排除的账号,然后选择 OK (确定)。
注意 如果您不选择此选项,Firewall Manager 会将策略应用到Amazon Organizations。如果您将新账户添加到组织,Firewall Manager 会将该策略自动应用于该账户。
-
选择要保护的资源的类型。
-
如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 Use tags to include/exclude resources (使用标签来包含/排除资源),输入标签,然后选择 Include (包含) 或 Exclude (排除)。您只能选择一个选项。
如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。
有关标签的更多信息,请参阅使用标签编辑器。
-
选择 Create and apply this policy to existing and new resources (创建此策略并将其应用于现有资源和新资源)。
此选项在 Amazon Organizations 中为组织内的每个适用账户创建一个 Web ACL,并将 Web ACL 与账户中的指定资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择创建此策略但不将策略应用于现有资源或新资源,Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。
-
在默认设置中保留对 Replace existing associated web ACLs (替换现有关联 Web ACL) 的选择。
选择此选项后,Firewall Manager 会从范围内资源中删除所有现有 Web ACL 关联,然后再将新策略的 Web ACL 与资源关联。
-
选择 Next。
-
查看新策略。要进行任何更改,请选择 Edit (编辑)。若您满意所创建的策略,请选择 Create policy (创建策略)。