设置 Amazon Firewall ManagerAmazon WAF 策略 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon Firewall ManagerAmazon WAF 策略

Amazon Firewall Manager 要使用在整个组织中启用 Amazon WAF 规则,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 Amazon Firewall Manager准备您的账户有几个必要步骤。Amazon Firewall Manager 先决条件中介绍了这些步骤。在继续执行步骤 2:创建和应用 Amazon WAF 策略之前,请先满足所有先决条件。

步骤 2:创建和应用 Amazon WAF 策略

Firewall Manager Amazon WAF 策略包含要应用于资源的规则组。Firewall Manager 会在您应用策略ACL的每个帐户中创建一个防火墙管理器网站。除了您在此处定义的规则组外ACL,个人账户经理还可以在生成的网页中添加规则和规则组。有关 Firewall Manager Amazon WAF 策略的信息,请参见在 Firewall Manager 中使用 Amazon WAF 策略

创建 Firewall Manager Amazon WAF 策略(控制台)

Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  1. 在导航窗格中,选择 安全策略

  2. 选择创建策略

  3. 对于 策略类型,选择 Amazon WAF

  4. 对于区域,选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 配送,请选择 “全球”。

    要保护多个区域( CloudFront 分布除外)中的资源,必须为每个区域创建单独的 Firewall Manager 策略。

  5. 选择下一步

  6. 对于策略名称,请键入策略的描述性名称。Firewall Manager 在其管理的网络ACLs名称中包含策略名称。Web ACL 名称FMManagedWebACLV2-后面是您在此处输入的策略名称和 Web ACL 创建时间戳(以UTC毫秒为单位)。-例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078

    重要

    网站ACL名称在创建后无法更改。如果您更新了策略的名称,Firewall Manager 将不会更新关联的网ACL名。要让 Firewall Manager 创建ACL具有不同名称的网站,您必须创建一个新策略。

  7. 策略规则 下的 最先运行的规则组 中,选择 添加规则组。展开 Amazon 托管规则组。对于核心规则集,切换添加至网页ACL。对于Amazon 已知的错误输入请切换添加到网页ACL。选择 添加规则

    对于 最后运行的规则组,请选择 添加规则组。展开Amazon 托管规则组,在 Amazon IP 信誉列表中,切换添加到网页ACL。选择 添加规则

    在 “第一个规则组” 下,选择 “核心规则集”,然后选择 “向下移动”。 Amazon WAF 先根据Amazon 已知的错误输入规则组评估 Web 请求,然后再根据核心规则集进行评估。

    如果需要,也可以使用 Amazon WAF 控制台创建自己的 Amazon WAF 规则组。您创建的任何规则组都将显示在描述策略:添加规则组页面的您的规则组下。

    您通过 Firewall Manager 管理的第一个和最后一个 Amazon WAF 规则组的名称分别以PREFMManaged-POSTFMManaged-开头,后跟防火墙管理器策略名称和规则组创建时间戳(以UTC毫秒为单位)。例如,PREFMManaged-MyWAFPolicyName-1621880555123

  8. 将 Web 的默认操作保留为 “允ACL许”。

  9. 策略操作 保留为默认状态,以便不会自动修复不合规的资源。您随后可以更改此选项。

  10. 选择下一步

  11. 对于 策略范围,您可以提供用于标识要应用策略的资源的账户、资源类型和标签设置。在本教程中,请保留 Amazon Web Services 账户资源的默认设置,然后选择一种或多种资源类型。

  12. 对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。你可以使用包含或排除,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。

  13. 选择下一步

  14. 对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器

  15. 选择下一步

  16. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要做出的更改。

  17. 若您满意所创建的策略,请选择 创建策略

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息

第 3 步:清理

为了避免产生不必要的费用,请删除任何非必要的策略和资源。

删除策略 (控制台)
  1. Amazon Firewall Manager 策略 页面上,选择策略名称旁边的单选按钮,然后选择删除

  2. 删除 确认框中,选择 删除所有策略资源,然后再次选择 删除

    Amazon WAF 移除该政策及其在您的账户中创建的所有关联资源ACLs,例如网页。更改可能需要几分钟才能传播到所有账户。