第 3 步:创建和应用 DNS 防火墙策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 3 步:创建和应用 DNS 防火墙策略

完成先决条件后,您创建一个Amazon Firewall ManagerDNS 防火墙策略。DNS 防火墙策略为您的整个用户提供了一组集中控制的 DNS 防火墙规则组关联Amazon组织。它还定义了Amazon Web Services 账户以及防火墙适用的资源。

有关Firewall Manager 如何管理您的 DNS 防火墙规则组关联的更多信息,请参阅Amazon Resolver DNS 防火墙策略.

创建Firewall Manager DNS Firewall 策略(控制台)

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 如果您未满足先决条件,控制台将显示有关如何修复任何问题的说明。按照说明进行操作,然后返回到此步骤,创建 DNS 防火墙策略。

  4. 选择创建安全策略.

  5. 对于策略类型,选择Amazon Route 53 Resolver.

  6. 对于区域,请选择一个Amazon Web Services 区域.

  7. 选择 Next(下一步)。

  8. 对于策略名称,输入一个描述性的名称。

  9. 策略配置允许您定义要通过Firewall Manager 管理的 DNS 防火墙规则组关联。您可以添加要在策略中使用的规则组。您可以定义一个关联,先为 VPC 进行评估,最后再定义一个关联。在本教程中,根据需要添加一个或两个规则组关联。

  10. 选择 Next(下一步)。

  11. Amazon Web Services 账户受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 Include all accounts under my organization (包括我的组织下的所有账户)

  12. 这些区域有:资源类型对于 DNS 防火墙策略始终是VPC.

  13. Resources (资源) 允许您通过指定要包含还是排除的资源标签,缩小策略的范围。要使用标签,您需要先标记资源。有关标记资源的更多信息,请参阅使用标签编辑器。对于本教程,选择 Include all resources that match the selected resource type (包括与所选资源类型匹配的所有资源)

  14. 选择 Next(下一步)。

  15. 检查您的策略设置,然后选择创建策略.

    Amazon Firewall Manager策略窗格中,您的策略已列出。策略的创建可能需要几分钟的时间。在创建过程完成之前,策略会显示其处于待处理状态。当策略准备就绪时,状态会随着范围内账户的数量而更新。您可以选择策略名称来浏览账户和资源的合规性状态。有关信息,请参阅。查看Amazon Firewall Manager策略的合规性信息

  16. 浏览完毕后,如果您不想保留为本教程创建的策略,请选择策略名称,选择Delete,选择清理此策略创建的资源。,最后选择Delete.

有关Firewall Manager DNS Firewall 策略的更多信息,请参阅Amazon Resolver DNS 防火墙策略.