第 3 步:创建并应用Amazon Firewall ManagerNetwork Firewall 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 3 步:创建并应用Amazon Firewall ManagerNetwork Firewall 策略

完成先决条件后,您将创建一个Amazon Firewall ManagerNetwork Firewall 策略。Network Firewall 策略提供了一个集中控制的Amazon Network Firewall您的整个防火墙Amazon组织。它还定义了Amazon Web Services 账户和应用防火墙的资源。

有关 Firewall Manager 如何管理 Network Firewall 策略的详细信息,请参阅Amazon Network Firewall 策略.

创建 Firewall Manager Network Firewall 策略 (控制台)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建 Network Firewall 策略。

  4. 选择创建安全策略.

  5. 对于 Policy type (策略类型),选择 Amazon Network Firewall

  6. 适用于区域中,选择Amazon Web Services 区域.

  7. 选择 Next (下一步)

  8. 适用于策略名称下,输入一个描述性名称。

  9. 策略配置允许您定义防火墙策略。这与您在Amazon Network Firewall控制台。您可以添加要在策略中使用的规则组,并提供默认的无状态操作。在本教程中,如同在 Network Firewall 中配置防火墙策略一样配置此策略。

    注意

    自动修正自动发生Amazon Firewall ManagerNetwork Firewall 策略,因此您在此处看不到选择不自动修复的选项。

  10. 选择 Next (下一步)

  11. 适用于Firewall 终端中,选择多个防火墙终端节点. 此选项为防火墙提供高可用性。创建策略时,Firewall Manager 会在每个可用区域中都有要保护的公有子网的防火墙子网。

  12. 适用于Amazon Network Firewall路由配置中,选择显示器,让 Firewall Manager 监视您的 VPC 是否存在路由配置违规行为,并提醒您修正建议,以帮助您使路由达到合规性。或者,如果您不希望 Firewall Manager 监控路由配置并接收这些警报,请选择Off.

    注意

    监控为您提供由于路由配置错误而导致的不合规资源的详细信息,并建议通过 Firewall Manager 进行修正操作GetViolationDetailsAPI。例如,如果流量未通过策略创建的防火墙终端节点路由,Network Firewall 会向您发出警报。

    警告

    如果选择显示器,您无法将其更改为Off在未来的同样的政策。您必须创建新的策略。

  13. 适用于流量类型,选择添加到防火墙策略通过互联网网关路由流量。

  14. Amazon Web Services 账户受此政策影响允许您通过指定要包括或排除的账户,缩小策略的范围。对于本教程,选择 Include all accounts under my organization (包括我的组织下的所有账户)

  15. 这些区域有:资源类型对于 Network Firewall 策略始终为VPC.

  16. Resources (资源) 允许您通过指定要包含还是排除的资源标签,缩小策略的范围。要使用标签,您需要先标记资源。有关标记资源的更多信息,请参阅使用标签编辑器。对于本教程,选择 Include all resources that match the selected resource type (包括与所选资源类型匹配的所有资源)

  17. 选择 Next (下一步)

  18. 检查策略设置,然后选择创建策略.

    Amazon Firewall Manager策略窗格下,应当列出您的策略。策略的创建可能需要几分钟的时间。在创建过程完成之前,策略将指示它处于挂起状态。策略准备就绪后,状态将随范围内帐户的计数更新。您可以选择策略名称来探索账户和资源的合规状态。想要了解有关信息,请参阅 查看符合性信息Amazon Firewall Manager策略

  19. 在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、Delete中,选择清理此策略创建的资源。,最后选择Delete.

有关 Firewall Manager 网络 Firewall Firewall Manager 网络 Firewall 策略Amazon Network Firewall 策略.