创建 Amazon Firewall Manager 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 Amazon Firewall Manager 策略

创建策略的步骤因不同的策略类型而异。请确保使用适用于所需策略类型的过程。

重要

Amazon Firewall Manager不支持 Amazon Route 53 或Amazon Global Accelerator. 如果要使用 Firewall Manager 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。

为 Amazon WAF 创建Amazon Firewall Manager策略

在 Firewall Manager 中Amazon WAF策略,您可以使用托管规则组,这将是Amazon和Amazon Web Services Marketplace卖家为您创建和维护。您也可以创建和使用自己的规则组。有关规则组的更多信息,请参阅规则组

注意

Firewall Manager 支持新Amazon WAF机器人控制托管规则组。有关机器人控制的信息,请参阅Amazon WAF,请参阅Amazon WAF自动程序控制.

如果要使用自己的规则组,请先创建这些规则组,然后再创建 Firewall Manager。Amazon WAF政策。有关操作指南,请参阅 管理您自己的规则组。要使用单个自定义规则,您必须定义自己的规则组,再在其中定义您的规则,然后在策略中使用该规则组。

有关 Firewall Manager 的信息Amazon WAF策略,请参阅Amazon WAF 策略.

为创建 Firewall Manager 策略的步骤Amazon WAF(console)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 对于 Policy type (策略类型),选择 Amazon WAF

  5. 适用于区域中,选择Amazon Web Services 区域. 为了保护 Amazon CloudFront 分发,请选择服务全球.

    若要保护多个区域中的资源(而不是 CloudFront 分发),您必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择 Next (下一步)

  7. 适用于策略名称中,输入一个描述性名称。Firewall Manager 在其管理的 Web ACL 的名称中包含策略名称。Web ACL 名称具有FMManagedWebACLV2-后跟您在此处输入的策略名称,-和 Web ACL 创建时间戳(以 UTC 毫秒为单位)。例如:FMManagedWebACLV2-MyWAFPolicyName-1621880374078

  8. Policy rules (策略规则) 下,添加您希望 Amazon WAF 在 Web ACL 中最先评估和最后评估的规则组。各客户经理可以在最先运行的规则组和最后运行的规则组之间添加规则和规则组。有关更多信息,请参阅Amazon WAF 策略

  9. 设置 Web ACL 的默认操作。这是行动AmazonWAF 在 Web 请求不与 Web ACL 中的任何规则匹配时执行 WAF。有关更多信息,请参阅确定 Web ACL 的默认操作

  10. 对于 Policy action (策略操作),如果要在组织中的每个适用账户内创建一个 Web ACL,但不将 Web ACL 应用于任何资源,请选择 Identify resources that don't comply with the policy rules, but don't auto remediate (识别不符合策略规则的资源,但不进行自动修复)。您随后可以更改此选项。

    若要自动将策略应用于现有的范围内资源,请选择 Auto remediate any noncompliant resources (自动修复任何不合规的资源)。此选项会在 Amazon 组织中的每个适用账户内创建一个 Web ACL,并将 Web ACL 与账户中的资源关联。

    在选择 Create自动修复任何不符合要求的资源,对于不由其他活动的 Firewall Manager 策略管理的 Web ACL,还可以选择删除 Web ACL 与范围内资源之间的现有关联。如果选择此选项,Firewall Manager 首先将策略的 Web ACL 与资源关联,然后删除之前的关联。如果某个资源与另一个由其他活动的 Firewall Manager 策略管理的 Web ACL 具有关联,则此选项不会影响该关联。

  11. 选择 Next (下一步)

  12. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  13. 适用于资源类型下,选择要保护的资源的类型。

  14. 对于 Resources (资源),如果要仅保护(或排除)具有特定标签的资源,请选择相应的选项,然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

  15. 选择 Next (下一步)

  16. 适用于策略标签中,添加要用于 Firewall Manager 的任何标识标签Amazon WAF政策。有关标签的更多信息,请参阅使用标签编辑器

  17. 选择 Next (下一步)

  18. 查看新策略。要进行任何更改,请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略,请选择 Create policy (创建策略)。

创建Amazon Firewall Manager用于 的 策略Amazon WAFClassic

为创建 Firewall Manager 策略的步骤Amazon WAF经典 (控制台)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 对于 Policy type (策略类型),选择 Amazon WAF Classic

  5. 如果您已经创建了Amazon WAF要添加到策略的经典规则组,请选择创建Amazon Firewall Manager策略并添加现有规则组. 如果要创建新规则组,请选择 Create a a创建 Firewall Manager 策略并添加新规则组.

  6. 适用于区域中,选择Amazon Web Services 区域. 为了保护 Amazon CloudFront 资源,请选择 Cloud服务全球.

    若要保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。

  7. 选择 Next (下一步)

  8. 如果您要创建规则组,请按照创建Amazon WAF传统规则组中的说明操作。在创建规则组后,请继续执行以下步骤。

  9. 输入策略名称。

  10. 如果您要添加现有规则组,请使用下拉菜单选择要添加的规则组,然后选择 Add rule group (添加规则组)

  11. 一个策略有两个可能的操作:按规则组设置的操作计数. 如果您要测试策略和规则组,请将操作设置为 Count (计数)。此操作会覆盖该策略中的规则组所指定的任何阻止 操作。即,如果将策略的操作设置为 Count (计数),则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 Action set by rule group (由规则组设置的操作),则会使用规则组规则的操作。选择适当的操作。

  12. 选择 Next (下一步)

  13. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  14. 选择要保护的资源的类型。

  15. 如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 Use tags to include/exclude resources (使用标签来包含/排除资源),输入标签,然后选择 Include (包含)Exclude (排除)。您只能选择一个选项。

    如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。

    有关标签的更多信息,请参阅使用标签编辑器

  16. 如果您要将策略自动应用于现有资源,请选择 Create and apply this policy to existing and new resources (创建此策略并将其应用于现有资源和新资源)。

    此选项在 Amazon 组织中的每个适用账户内创建一个 Web ACL,并将 Web ACL 与账户中的资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择 Create policy but do not apply the policy to existing or new resources (创建策略但不将策略应用于现有资源或新资源),则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL,但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。选择适当的选项。

  17. 对于 Replace existing associated web ACLs (替换现有关联的 Web ACL),您可以选择删除当前为范围内资源定义的任何 Web ACL 关联,然后将它们替换为与您使用此策略创建的 Web ACL 之间的关联。默认情况下,Firewall Manager 不会在添加新的 Web ACL 关联之前删除现有的 Web ACL 关联。如果要删除现有关联,请选择此选项。

  18. 选择 Next (下一步)

  19. 查看新策略。要进行任何更改,请选择 Edit (编辑)。若您满意所创建的策略,请选择 Create and apply policy (创建并应用策略)。

为 Amazon Shield Advanced 创建Amazon Firewall Manager策略

为 Firewall Manager 策略 (控制台) 创建 Firewall Manager 策略

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 对于 Name (名称),输入有意义的名称。

  5. 适用于策略类型中,选择Shield 高级.

    要创建 Security 高级Firewall (高级 Shield 策略),您必须订阅高级护盾。如果您尚未订阅,则会提示您订阅。有关更多信息,请参阅Amazon Shield 定价

  6. 适用于区域中,选择Amazon Web Services 区域. 为了保护 Amazon CloudFront 资源,请选择 Cloud服务全球.

    若要保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。

  7. 选择 Next (下一步)

  8. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  9. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或Amazon Global Accelerator. 如果您需要使用 Firewall Manager 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。

  10. 如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 Use tags to include/exclude resources (使用标签来包含/排除资源),输入标签,然后选择 Include (包含)Exclude (排除)。您只能选择一个选项。

    如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。

    有关标签的更多信息,请参阅使用标签编辑器

  11. 选择 Create and apply this policy to existing and new resources (创建此策略并将其应用于现有资源和新资源)。

    此选项将护 Shield 高级保护应用于Amazon组织中的指定资源,并将该保护与账户中的指定资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者,如果您选择创建但不要将此策略应用于现有资源或新资源,则 Firewall Manager 不会对任何资源应用 “防 Shield 高级” 保护。您稍后必须将策略应用于资源。

  12. 选择 Next (下一步)

  13. 查看新策略。要进行任何更改,请选择 Edit (编辑)。若您满意所创建的策略,请选择 Create policy (创建策略)。

创建 Amazon Firewall Manager 通用安全组策略

有关通用安全组策略工作原理的信息,请参阅。通用安全组策略.

要创建通用安全组策略,您必须在 Firewall Manager 管理员帐户中创建一个安全组,您要用作策略的主要安全组。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。想要了解有关信息,请参阅使用安全组中的Amazon VPC User Guide.

创建 通用安全组策略(控制台)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 对于 Policy type (策略类型),选择 Security group (安全组)

  5. 对于 Security group policy type (安全组策略类型),选择 Common security groups (通用安全组)

  6. 适用于区域中,选择Amazon Web Services 区域.

  7. 选择 Next (下一步)

  8. 对于 Policy name (策略名称),输入一个友好名称。

  9. 适用于策略规则中,执行以下操作:

    1. 从规则选项中,选择要应用于安全组规则和策略范围内的资源的限制。

    2. 适用于主安全组中,选择添加主安全组,然后选择要使用的安全组。Firewall Manager 填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的主要安全组列表。策略的默认最大主安全组数量为 1。有关增加最大值的信息,请参阅Amazon Firewall Manager 配额

    3. 对于 Policy action (策略操作),建议使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前评估新策略的效果。在您确定进行了所需的更改时,请编辑策略并更改策略操作以启用不符合要求的资源的自动修复。

  10. 选择 Next (下一步)

  11. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  12. 适用于资源类型下,选择要保护的资源的类型。

    如果选择EC2 实例,您可以选择在每个 Amazon EC2 实例中包含所有弹性网络接口,也可以选择在每个实例中仅包含默认接口。如果您在任何范围内的 Amazon EC2 实例中都有多个 elastic network interface,则选择包含所有接口的选项允许 Firewall Manager 将策略应用到所有接口。启用自动修正后,如果 Firewall Manager 无法将策略应用于 Amazon EC2 实例中的所有弹性网络接口,则会将该实例标记为不符合要求。

  13. 适用于资源,如果您想将策略应用于Amazon Web Services 账户和资源类型参数,请选择包括与所选资源类型匹配的所有资源. 如果要包括或排除特定资源,请使用标记指定资源,然后选择适当的选项并将标签添加到列表中。您可以将策略应用于除具有指定所有标记的资源之外的所有资源,也可以仅将策略应用于具有指定所有标记的资源。有关标记资源的更多信息,请参阅使用标签编辑器

    注意

    如果输入多个标签,则资源必须具有所有标签才能匹配。

  14. 对于 Shared VPC resources (共享 VPC 资源),如果除了账户拥有的 VPC 外,您要将策略应用于共享 VPC 中的资源,请选择 Include resources from shared VPCs (包括共享 VPC 中的资源)

  15. 选择 Next (下一步)

  16. 查看策略设置,确保它们满足您的需求,然后选择 Create policy (创建策略)

Firewall Manager 会在处于范围内账户所包含的每个 Amazon VPC 实例主安全组中创建一个副本,直至达到每个账户支持的 Amazon VPC 最大配额。Firewall Manager 将副本安全组与策略范围内的每个账户的范围内的策略范围内的资源相关联。有关此策略工作方式的更多信息,请参阅通用安全组策略

创建 Amazon Firewall Manager 内容审核安全组策略

有关内容审核安全组策略工作原理的信息,请参阅。内容审核安全组策略.

对于某些内容审计策略设置,您必须提供审计安全组,以便 Firewall Manager 用作模板。例如,您可能有一个审核安全组,其中包含您在任何安全组中不允许的所有规则。您必须使用 Firewall Manager 管理员账户创建这些审核安全组,然后才能在策略中使用它们。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。想要了解有关信息,请参阅使用安全组中的Amazon VPC User Guide.

创建内容审核安全组策略(控制台)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 对于 Policy type (策略类型),选择 Security group (安全组)

  5. 适用于安全组策略类型中,选择审核和实施安全组规则.

  6. 适用于区域中,选择Amazon Web Services 区域.

  7. 选择 Next (下一步)

  8. 对于 Policy name (策略名称),输入一个友好名称。

  9. 适用于策略规则中,选择要使用的托管策略规则或自定义策略规则选项。

    1. 适用于配置托管审计策略规则中,执行以下操作:

      1. 适用于配置要审核的安全组规则中,选择您希望审计策略应用到的安全组规则的类型。

      2. 如果要执行诸如限制安全组中允许的协议、端口和 CIDR 范围设置等操作,请选择审核过于权限的安全组规则,然后选择想要设置的选项。

        对于使用协议列表的选择,您可以使用现有列表,也可以创建新列表。有关协议列表及其在策略中使用方法的信息,请参阅。托管列表使用托管列表.

      3. 如果要强制限制特定应用程序可执行的操作,请选择审计高风险应用,然后选择想要设置的选项。

        以下选项是互斥的:只能访问本地 CIDR 范围的应用程序可以使用公共 CIDR 范围的应用程序. 您可以在任何策略中最多选择其中一个。

        对于使用应用程序列表的选择,您可以使用现有列表,也可以创建新列表。有关应用程序列表及其在策略中使用方法的信息,请参阅。托管列表使用托管列表.

      4. 使用Overrides设置以显式覆盖策略中的其他设置。您可以选择始终允许或始终拒绝特定安全组规则,无论这些规则是否符合您为策略设置的其他选项。

        对于此选项,您可以提供审核安全组作为允许的规则或被拒绝的规则模板。适用于审核安全组中,选择添加审核安全组,然后选择要使用的安全组。Firewall Manager 填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的审核安全组列表。策略的审计安全组的默认数量最大配额为 1。有关增加配额的信息,请参阅Amazon Firewall Manager 配额

    2. 适用于配置自定义策略规则中,执行以下操作:

      1. 从规则选项中,选择是仅允许审计安全组中定义的规则,还是拒绝所有规则。有关此选择的信息,请参阅内容审核安全组策略

      2. 适用于审核安全组中,选择添加审核安全组,然后选择要使用的安全组。Firewall Manager 填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的审核安全组列表。策略的审计安全组的默认数量最大配额为 1。有关增加配额的信息,请参阅Amazon Firewall Manager 配额

      3. 对于 Policy action (策略操作),您必须使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前评估新策略的效果。在您确定进行了所需的更改时,请编辑策略并更改策略操作以启用不符合要求的资源的自动修复。

  10. 选择 Next (下一步)

  11. 适用于Amazon Web Services 账户此策略适用于中,按以下方式选择选项:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  12. 适用于资源类型中,选择要保护的资源的类型。

  13. 适用于资源,如果您想将策略应用于Amazon Web Services 账户和资源类型参数,请选择包括与所选资源类型匹配的所有资源. 如果要包括或排除特定资源,请使用标记指定资源,然后选择适当的选项并将标签添加到列表中。您可以将策略应用于除具有指定所有标记的资源之外的所有资源,也可以仅将策略应用于具有指定所有标记的资源。有关标记资源的更多信息,请参阅使用标签编辑器

    注意

    如果输入多个标签,则资源必须具有所有标签才能匹配。

  14. 选择 Next (下一步)

  15. 查看策略设置,确保它们满足您的需求,然后选择 Create policy (创建策略)

Firewall Manager 将审核安全组与Amazon组织,具体取决于您的策略规则设置。您可以在 Amazon Firewall Manager 策略控制台中查看策略状态。创建策略后,您可以对其进行编辑并启用自动修正,以使审计安全组策略生效。有关此策略工作方式的更多信息,请参阅内容审核安全组策略

创建 Amazon Firewall Manager 使用情况审核安全组策略

有关使用情况审核安全组策略工作原理的信息,请参阅。使用情况审核安全组策略.

创建使用情况审核安全组策略(控制台)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 对于 Policy type (策略类型),选择 Security group (安全组)

  5. 适用于安全组策略类型中,选择审核和清理未使用的和冗余的安全组.

  6. 适用于区域中,选择Amazon Web Services 区域.

  7. 选择 Next (下一步)

  8. 对于 Policy name (策略名称),输入一个友好名称。

  9. 对于 Policy rules (策略规则),选择其中一个或全部两个可用选项。

    • 如果选择此策略范围中的安全组必须至少由一个资源使用。,则 Firewall Manager 会删除它确定未使用的所有安全组。默认情况下,如果安全组在任何时间内未使用,Firewall Manager 会认为它们不符合此策略规则。您可以选择指定安全组在被视为不合规之前未使用的分钟数。如果您选择此规则,Firewall Manager 会在您保存策略时最后运行它。

    • 如果选择此策略范围中的安全组必须唯一。,Firewall Manager 将合并多余的安全组,因此仅有一个安全组与任意资源关联。如果您选择此项,Firewall Manager 将在您保存策略时最先运行它。

  10. 对于 Policy action (策略操作),建议使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前评估新策略的效果。在您确定进行了所需的更改时,请编辑策略并更改策略操作以启用不符合要求的资源的自动修复。

  11. 选择 Next (下一步)

  12. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  13. 适用于资源,如果您想将策略应用于Amazon Web Services 账户和资源类型参数,请选择包括与所选资源类型匹配的所有资源. 如果要包括或排除特定资源,请使用标记指定资源,然后选择适当的选项并将标签添加到列表中。您可以将策略应用于除具有指定所有标记的资源之外的所有资源,也可以仅将策略应用于具有指定所有标记的资源。有关标记资源的更多信息,请参阅使用标签编辑器

    注意

    如果输入多个标签,则资源必须具有所有标签才能匹配。

  14. 选择 Next (下一步)

  15. 如果您没有从策略范围中排除 Firewall Manager 管理员帐户,Firewall Manager 会提示您执行此操作。这样做会使用 Firewall Manager 管理员帐户(用于常见安全组策略和审核安全组策略)中的安全组置于手动控制之下。在此对话框中选择想要设置的选项。

  16. 查看策略设置,确保它们满足您的需求,然后选择 Create policy (创建策略)

如果您选择需要唯一的安全组,Firewall Manager 会在范围内的每个 Amazon VPC 实例中扫描多余的安全组。然后,如果您选择要求每个安全组至少由一个资源使用,Firewall Manager 会扫描规则中指定的分钟内未使用的安全组。您可以在 Amazon Firewall Manager 策略控制台中查看策略状态。有关此策略工作方式的更多信息,请参阅使用情况审核安全组策略

为 Amazon Network Firewall 创建Amazon Firewall Manager策略

在 Firewall Manager Network Firewall 策略中,您可以使用您在Amazon Network Firewall. 有关管理规则组的信息,请参阅。Amazon Network Firewall规则组中的Network Firewall 开发者指南.

有关 Firewall Manager Network Firewall 策略的信息,请参阅。Amazon Network Firewall 策略.

为创建 Firewall Manager 策略的步骤Amazon Network Firewall(console)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 适用于策略类型中,选择Network Firewall.

  5. 适用于区域中,选择Amazon Web Services 区域. 若要保护多个区域中的资源,您必须为每个区域创建单独的策略。

  6. 选择 Next (下一步)

  7. 适用于策略名称中,输入一个描述性名称。Firewall Manager 在其创建的 Network Firewall 和防火墙策略的名称中包含策略名称。

  8. 在策略配置中,像在 Network Firewall 中一样配置防火墙策略。添加无状态和有状态规则组,并指定策略的默认操作。有关 Network Firewall 防火墙策略管理的信息,请参阅Amazon Network Firewall防火墙策略中的Amazon Network Firewall开发人员指南.

    创建 Firewall Manager Network Firewall 策略时,Firewall Manager 会为范围内的帐户创建防火墙策略。个人帐户管理员可以将规则组添加到防火墙策略中,但他们无法更改您在此处提供的配置。

  9. 对于防火墙终端配置中,指定您希望 Firewall Manager 如何管理防火墙终端节点。我们建议使用多个端点以实现高可用性。

  10. 如果要为 Firewall Manager 提供 CIDR 块,以便用于 VPC 中的防火墙子网,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些内容,Firewall Manager 将从 VPC 中可用的 IP 地址中为您选择 IP 地址。

    注意

    自动修正自动发生Amazon Firewall ManagerNetwork Firewall 策略,因此您在此处看不到选择不自动修复的选项。

  11. 选择 Next (下一步)

  12. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  13. 这些区域有:资源类型为 Network Firewall 策略VPC.

  14. 对于 Resources (资源),如果要仅保护(或排除)具有特定标签的资源,请选择相应的选项,然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

  15. 选择 Next (下一步)

  16. 适用于策略标签下,为 Firewall Manager Network Firewall Firewall Manager 策略添加所需的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  17. 选择 Next (下一步)

  18. 查看新策略。要进行任何更改,请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略,请选择 Create policy (创建策略)。

创建Amazon Firewall ManagerAmazon Route 53 Resolver DNS Firewall 的策略

在 Firewall Manager DNS 防火墙策略中,您使用 Amazon Route 53 Resolver DNS 防火墙中管理的规则组。有关管理规则组的信息,请参阅。管理 DNS 防火墙中的规则组和规则中的Amazon Route 53 开发人员指南.

有关 Firewall Manager DNS 防火墙策略的信息,请参阅。Amazon Route 53 Resolver DNS Firewall Firewall 策略.

为 Amazon Route 53 Resolver DNS 防火墙 (控制台) 创建 Firewall Manager 策略

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)。

  4. 适用于策略类型中,选择Amazon Route 53 ResolverDNS 防火墙.

  5. 适用于区域中,选择Amazon Web Services 区域. 若要保护多个区域中的资源,您必须为每个区域创建单独的策略。

  6. 选择 Next (下一步)

  7. 适用于策略名称中,输入一个描述性名称。

  8. 在策略配置中,添加您希望 DNS Firewall 在 VPC 的规则组关联中首先评估和最后评估的规则组。您可以将最多添加两个规则组添加至策略。

    创建 Firewall Manager DNS 防火墙策略时,Firewall Manager 会为范围内的 VPC 和帐户创建规则组关联(具有您提供的关联优先级)。各个客户经理可以在您的第一个和最后一个关联之间添加规则组关联,但他们不能更改您在此处定义的关联。有关更多信息,请参阅Amazon Route 53 Resolver DNS Firewall Firewall 策略

  9. 选择 Next (下一步)

  10. 适用于Amazon Web Services 账户此策略适用于下,选择该选项,如下所示:

    • 如果要将策略应用于组织中的所有账户,请保留默认选项包含我的所有帐户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

  11. 这些区域有:资源类型DNS 防火墙策略是VPC.

  12. 对于 Resources (资源),如果要仅保护(或排除)具有特定标签的资源,请选择相应的选项,然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

  13. 选择 Next (下一步)

  14. 适用于策略标签下,为 Firewall Manager DNS Firewall Manager 策略添加所需的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  15. 选择 Next (下一步)

  16. 查看新策略。要进行任何更改,请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略,请选择 Create policy (创建策略)。