步骤 3:创建和应用 Fortigate CNF 策略 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 3:创建和应用 Fortigate CNF 策略

完成先决条件后,您可以创建 Amazon Firewall Manager Fortigate CNF 策略。

有关 Fortigate CNF 的 Firewall Manager 策略的更多信息,请参阅 Fortigate 云原生防火墙 (CNF) 即服务策略

创建适用于 Fortigate CNF 的 Firewall Manager 策略(控制台)

  1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择 创建策略

  4. 对于策略类型,请选择 Fortigate CNF。如果你还没有在 Marketpl Amazon ace 上订阅 Fortigate CNF 服务,则需要先订阅。要在 Amazon Marketplace 上订阅,请选择 “查看 Amazon 商城详情”。

  5. 对于部署模型,选择分布式模型集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。

  6. 对于区域,选择一个 Amazon Web Services 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。

  7. 选择下一步

  9. 在策略配置中,选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与您的 Fortigate CNF 租户关联的所有 Fortigate CNF 防火墙策略。有关创建和管理 Fortigate CNF 防火墙策略的信息,请参阅 Fortinet CNF 文档

  10. 选择下一步

  11. 配置第三方防火墙端点下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:

    • 如果您为此策略使用分布式部署模型,请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

    • 如果您使用此策略的集中式部署模型,请在检查 VPC 配置下的 Amazon Firewall Manager 端点配置中输入检查 VPC 所有者的 Amazon 账户 ID 和检查 VPC 的 VPC ID。

      • 可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称可用区 ID 选择可用区。

  12. 选择下一步

  13. 对于策略作用域,在 Amazon Web Services 账户 本策略适用于下,选择以下选项:

    • 如果要将该政策应用于组织中的所有账户,请保留默认选项 “包括我的 Amazon 组织下的所有账户”

    • 如果您只想将策略应用于特定帐户或特定 Amazon Organizations 组织单位 (OU) 中的帐户,请选择 “仅包括指定的帐户和组织单位”,然后添加要包括的帐户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将该策略应用于除一组特定的账户或 Amazon Organizations 组织单位 (OU) 之外的所有账户或组织单位,请选择排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和组织单位。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将策略应用到新账户。

    Fortigate CNF 策略的资源类型是 VPC。

  14. 对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。您可以使用 “包含” 或 “排除”,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。

  15. 对于授予跨账户存取权限,请选择下载 Amazon CloudFormation 模板。这将下载一个可用于创建 Amazon CloudFormation 堆栈的 Amazon CloudFormation 模板。此堆栈创建了一个 Amazon Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理 Fortigate CNF 资源的权限。有关堆栈的信息,请参阅 Amazon CloudFormation 用户指南中的使用堆栈。要创建堆栈,您需要来自 Fortigate CNF 门户网站的账户 ID。

  16. 选择下一步

  17. 对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器

  18. 选择下一步

  19. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要进行的更改。

  20. 若您满意所创建的策略,请选择 创建策略

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息

有关 Firewall Manager Fortigate CNF 策略的更多信息,请参阅 Fortigate 云原生防火墙 (CNF) 即服务策略