设置 Amazon Firewall ManagerAmazon Shield Advanced 策略 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
步骤 1:完成先决条件步骤 2:创建并应用 Shield Advanced 策略步骤 3:(可选)向 Shield Response Team (SRT) 授权第 4 步:配置亚马逊 SNS 通知和亚马逊警报 CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon Firewall ManagerAmazon Shield Advanced 策略

您可以使用 Amazon Firewall Manager 在整个组织中启用 Amazon Shield Advanced 保护。

重要

Firewall Manager 不支持 Amazon Route 53 或 Amazon Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照为 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。

要使用 Firewall Manager 来启用 Shield Advanced 保护,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 Amazon Firewall Manager准备您的账户有几个必要步骤。Amazon Firewall Manager 先决条件中介绍了这些步骤。在继续执行步骤 2:创建并应用 Shield Advanced 策略之前,请完成所有先决条件。

步骤 2:创建并应用 Shield Advanced 策略

完成先决条件后,您可以创建 Amazon Firewall Manager Shield Advanced 策略。Firewall Manager Shield Advanced 策略包含您要使用 Shield Advanced 保护的账户和资源。

重要

Firewall Manager 不支持 Amazon Route 53 或 Amazon Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照为 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。

创建 Firewall Manager Shield Advanced 策略(控制台)

  1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  2. 在导航窗格中,选择 安全策略

  3. 选择创建策略

  4. 对于策略类型,选择 Shield Advanced

    要创建 Shield Advanced 策略,您的 Firewall Manager 必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的更多信息,请参阅 Amazon Shield Advanced 定价

    注意

    您无需为每个会员账户手动订阅 Shield Advanced。Firewall Manager 在创建策略时会为您执行此操作。每个账户都必须继续订阅 Firewall Manager 和 Shield Advanced,才能继续保护账户中的资源。

  5. 在 “区域” 中,选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 资源,请选择 “全球”。

    要保护多个区域中的资源( CloudFront 资源除外),必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择下一步

  7. 对于名称,请键入策略的描述性名称。

  8. (仅限全球区域)对于全球区域策略,您可以选择是否要管理 Shield Advanced 自动应用层 DDo S 缓解。在本教程中,将此选项保留为默认设置忽略

  9. 对于策略操作,请选择不会自动修复的选项。

  10. 选择下一步

  11. Amazon Web Services 账户 本政策适用于允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户

  12. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或 Amazon Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。否则,请按照 为 Amazon 资源添加 Amazon Shield Advanced 保护 提供的 Shield Advanced 的指导进行操作。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 Amazon Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  16. 选择下一步

  17. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  18. 若您满意所创建的策略,请选择 创建策略

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息

继续步骤 3:(可选)向 Shield Response Team (SRT) 授权

步骤 3:(可选)向 Shield Response Team (SRT) 授权

的好处之一 Amazon Shield Advanced 是来自Shield响应小组(SRT)的支持。当你遇到潜在的 DDo S 攻击时,你可以联系Amazon Web Services 支持 中心。如有必要,支持中心会将您的问题上报至 SRT。SRT 可以帮助您分析可疑的活动,并帮助您缓解问题。这种缓解措施通常涉及 ACLs 在您的账户中创建或更新 Amazon WAF 规则和网站。SRT 可以检查您的 Amazon WAF 配置并ACLs 为您创建或更新 Amazon WAF 规则和 Web,但团队需要您的授权才能这样做。我们建议在设置过程中 Amazon Shield Advanced,主动向 SRT 提供所需的授权。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。

您在账户级别授权和联系 SRT。也就是说,账户所有者(而不是 Firewall Manager 管理员)必须执行以下步骤来授权 SRT 以缓解潜在的攻击。Firewall Manager 管理员只能为他们拥有的账户授权 SRT。同样,只有账户所有者可以联系 SRT 以获得支持。

注意

要使用 SRT 的服务,您必须订阅 Business Support Plan企业支持计划

要授权 SRT 代表您缓解潜在的攻击,请按照 支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应 中的步骤操作。您可以随时使用相同的步骤更改 SRT 访问权限和权限。

继续第 4 步:配置亚马逊 SNS 通知和亚马逊警报 CloudWatch

第 4 步:配置亚马逊 SNS 通知和亚马逊警报 CloudWatch

您可以继续执行此步骤,而无需配置 Amazon SNS 通知或 CloudWatch 警报。但是,配置这些警报和通知可以显著提高您对可能的 DDo S 事件的可见性。

您可以使用 Amazon S DDo NS 监控您的受保护资源是否存在潜在的 S 活动。要接收可能攻击的通知,请为每个区域创建一个 Amazon SNS 主题。

重要

Amazon SNS 关于潜在的 DDo S 活动的通知不是实时发送的,可能会延迟。此外,如果每个账户的每种资源类型超过 1,000 个 Shield Advanced 受保护资源的配额,Firewall Manager 的性能限制可能会完全阻止 DDo S 攻击通知的成功发送。有关更多信息,请参阅 Amazon Shield Advanced 配额

要启用潜在 DDo S 活动的实时通知,您可以使用CloudWatch 警报。警报必须基于受保护资源所在账户的 DDoSDetected 指标。

在 Firewall Manager(控制台)创建 Amazon SNS 主题

  1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  2. 在导航窗格中的 Amazon FMS 下,选择 设置

  3. 选择 创建新主题

  4. 输入主题名称。

  5. 输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择添加电子邮件地址

  6. 选择 更新 SNS 配置

配置 Amazon CloudWatch 警报

Shield Advanced 记录了您可以监控的检测、缓解和主要贡献者指标。 CloudWatch 有关更多信息,请参阅Amazon Shield Advanced 指标。 CloudWatch 会产生额外费用。有关 CloudWatch 定价,请参阅 Amazon CloudWatch 定价

要创建 CloudWatch 警报,请按照使用 Amazon CloudWatch 警报中的说明进行操作。默认情况下,Shield Advanced 配置 CloudWatch 为仅在一个潜在的 DDo S 事件指标后提醒你。如果需要,您可以使用 CloudWatch 控制台来更改此设置,以便在检测到多个提示信号时再通知您。

注意

除了警报外,您还可以使用 CloudWatch 仪表板来监控潜在的 DDo S 活动。此控制面板可从 CloudWatch 收集原始数据,并将数据处理为易读的近乎实时的指标。您可以使用 Amazon 中的统计数据 CloudWatch 来了解您的 Web 应用程序或服务的性能。有关更多信息,请参阅《Amazon CloudWatch 用户指南》 CloudWatch中的内容

有关创建 CloudWatch 仪表板的说明,请参阅使用 Amazon 进行监控 CloudWatch。有关您可以添加到控制面板的 Shield Advanced 指标的信息,请参阅 Amazon Shield Advanced 指标

完成 Shield Advanced 配置后,请熟悉在 使用 Shield Advanced 查看 DDo S 事件 查看事件的选项。