查看 Amazon Firewall Manager 策略的合规性信息 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 Amazon Firewall Manager 策略的合规性信息

本节为查看 Amazon Firewall Manager 策略范围内的账户和资源的合规状态提供了指导。有关为维护云的安全性和合规性而采取的控制措施的信息,请参阅Firewall Manager 的合规性验证。 Amazon

注意

为了让 Firewall Manager 监控策略合规性, Amazon Config 必须持续记录受保护资源的配置更改。在您的 Amazon Config 配置中,必须将录制频率设置为 “连续”,这是默认设置。

注意

要在受保护的资源中保持适当的合规状态,请避免重复自动或手动更改 Firewall Manager 保护的状态。Firewall Manager 使用来自 Amazon Config 的信息来检测对资源配置的更改。如果应用更改的速度足够快,则 Amazon Config 可能会丢失对其中一些更改的跟踪,从而导致 Firewall Manager 中有关合规性或补救状态的信息丢失。

如果您发现使用 Firewall Manager 保护的资源的合规性或修复状态不正确,请首先确保您没有运行任何更改或重置防火墙管理器保护的进程,然后通过重新评估中的关联配置规则来刷新对资源的 Amazon Config 跟踪。 Amazon Config

对于所有 Amazon Firewall Manager 策略,您可以查看策略范围内账户和资源的合规性状态。如果策略的设置反映在账户或资源的设置中,则该账户或资源符合 Firewall Manager 策略。每种策略类型都有自己的合规性要求,您可以在定义策略时对其进行调整。对于某些策略,您还可以查看其适用资源的详细违规信息,以帮助您更好地了解和管理安全风险。

查看策略的信息

  1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择一个策略。在策略页面的账户和资源选项卡中,Firewall Manager 列出了您组织中的账户,这些账户分组为该策略范围内的账户和策略范围外的账户。

    策略范围内的账户窗格列出了每个账户的合规性状态。合规状态表示该策略已成功应用于账户的所有范围内资源。不合规状态表示该策略尚未应用于该账户下适用于该策略的一个或多个资源。

  4. 选择一个不合规的账户。在账户页面中,Firewall Manager 列出了每个不合规资源的 ID 和类型,以及该资源违反策略的原因。

    注意

    对于资源类型 AWS::EC2::NetworkInterface (ENI) 和 AWS::EC2::Instance,Firewall Manager 可能会显示有限数量的不合规资源。要列出其他不合规的资源,请修复最初为该账户显示的资源。

  5. 如果 Firewall Manager 策略类型为内容审核安全组策略,则可以访问资源的详细违规信息。

    要查看违规详细信息,请选择资源。

    注意

    在添加详细资源违例页面之前,Firewall Manager 发现不合规的资源可能没有违规详情。

    在资源页面中,Firewall Manager 根据资源类型列出了有关违规的具体细节。

    • AWS::EC2::NetworkInterface (ENI):Firewall Manager 显示有关资源不符合的安全组的信息。选择安全组以查看有关它的更多详细信息。

    • AWS::EC2::Instance:Firewall Manager 显示连接到 EC2 实例的不合规 ENI。它还会显示资源不符合的安全组的信息。选择安全组以查看有关它的更多详细信息。

    • AWS::EC2::SecurityGroup:Firewall Manager 显示以下违规详情:

      • 不合规的安全组规则:违规的规则,包括其协议、端口范围、IP CIDR 范围和描述。

      • 引用的规则:不合规安全组规则违反的审核安全组规则及其详细信息。

      • 违规原因:对违规调查发现的解释。

      • 补救措施:建议采取的措施。如果 Firewall Manager 无法确定安全补救措施,则此字段为空。

    • AWS::EC2::Subnet:用于 Network Firewall 策略。Firewall Manager 显示子网 ID、VPC ID 和可用区域。如果适用,Firewall Manager 会包括有关违规的其他信息,例如违规发生的原因或子网应关联的路由表的 ID。违规描述部分包含对资源的预期状态、当前不合规状态的描述,以及对导致差异的原因的描述(如有)。

      例如,子网的预期状态可能是 “子网的可用区中应包含子网”,当前状态可能是 “id subnet-1234 的子网在可用区域 us-east-1e 中缺少网络防火墙子网”,描述可能是 “由于没有可用的 CIDR 块,Firewall Manager 无法在此可用区中创建子网”。 Amazon Network Firewall

      • 路由管理违规:对于使用监控模式的 Network Firewall 策略,Firewall Manager 会显示基本子网信息,以及子网、互联网网关和 Network Firewall 子网路由表中的预期和实际路由。如果实际路由与路由表中的预期路由不匹配,Firewall Manager 会提醒您存在违规。

      • 路由管理违规的补救措施:对于使用监控模式的 Network Firewall 策略,Firewall Manager 会建议对存在违规的路由配置采取可能的补救措施。

      例 :路由管理违规和补救建议

      子网应该通过防火墙端点发送流量,但当前子网是将流量直接发送到互联网网关。这属于路由管理违规行为。在这种情况下,建议有序采取一系列补救措施。第一个建议是将所需路由添加到 Network Firewall 子网的路由表中,以将传出流量定向到互联网网关,并将发往 VPC 内目的地的传入流量定向到 `local`。第二个建议是替换子网路由表中的互联网网关路由或无效的 Network Firewall 路由,将传出流量定向到防火墙端点。第三个建议是将所需的路由添加到互联网网关的路由表中,以将传入流量定向到防火墙端点。

    • AWS::EC2:InternetGateway:这用于启用监控模式的 Network Firewall 策略。

      • 路由管理违规:如果互联网网关未与路由表关联,或者互联网网关路由表中有无效路由,则互联网网关不合规。

      • 针对路由管理违规的补救措施:Firewall Manager 会建议可能的补救措施,以补救路由管理违规。

      例 1:路由管理违规和补救建议

      互联网网关与路由表无关。建议有序采取一系列补救措施。第一项操作是创建路由表。第二项操作是将路由表与互联网网关联。第三项操作是将所需的路由添加到互联网网关路由表中。

      例 2:路由管理违规和补救建议

      互联网网关与有效的路由表关联,但路由配置不正确。建议有序采取一系列补救措施。第一项建议是移除无效路由。第二项建议是将所需的路由添加到互联网网关路由表中。

    • AWS::NetworkFirewall::FirewallPolicy:用于 Network Firewall 策略。Firewall Manager 显示有关 Network Firewall 防火墙策略的信息,该策略已被修改为不合规。这些信息提供了预期的防火墙策略及其在客户账户中找到的策略,因此您可以比较无状态和有状态的规则组名称与优先级设置、自定义操作名称以及默认的无状态操作设置。违规描述部分包含对资源的预期状态、当前不合规状态的描述,以及对导致差异的原因的描述(如有)。

    • AWS::EC2::VPC:这用于 DNS 防火墙策略。Firewall Manager 显示有关在 Firewall Manager DNS 防火墙策略作用域内且不符合该策略的 VPC 的信息。提供的信息包括预期与 VPC 关联的预期规则组和实际规则组。违规描述部分包含对资源的预期状态、当前不合规状态的描述,以及对导致差异的原因的描述(如有)。