本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置 Amazon Firewall ManagerAmazon WAF 策略
Amazon Firewall Manager 要使用在整个组织中启用 Amazon WAF 规则,请按顺序执行以下步骤。
步骤 1:完成先决条件
为 Amazon Firewall Manager准备您的账户有几个必要步骤。Amazon Firewall Manager 先决条件中介绍了这些步骤。在继续执行步骤 2:创建和应用 Amazon WAF 策略之前,请先满足所有先决条件。
步骤 2:创建和应用 Amazon WAF 策略
Firewall Manager Amazon WAF 策略包含要应用于资源的规则组。Firewall Manager 会在您应用策略ACL的每个帐户中创建一个防火墙管理器网站。除了您在此处定义的规则组外ACL,个人账户经理还可以在生成的网页中添加规则和规则组。有关 Firewall Manager Amazon WAF 策略的信息,请参见在 Firewall Manager 中使用 Amazon WAF 策略。
创建 Firewall Manager Amazon WAF 策略(控制台)
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
-
在导航窗格中,选择 安全策略。
-
选择创建策略。
-
对于 策略类型,选择 Amazon WAF。
-
对于区域,选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 配送,请选择 “全球”。
要保护多个区域( CloudFront 分布除外)中的资源,必须为每个区域创建单独的 Firewall Manager 策略。
-
选择下一步。
-
对于策略名称,请键入策略的描述性名称。Firewall Manager 在其管理的网络ACLs名称中包含策略名称。Web ACL 名称
FMManagedWebACLV2-
后面是您在此处输入的策略名称和 Web ACL 创建时间戳(以UTC毫秒为单位)。-
例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078
。重要
网站ACL名称在创建后无法更改。如果您更新了策略的名称,Firewall Manager 将不会更新关联的网ACL名。要让 Firewall Manager 创建ACL具有不同名称的网站,您必须创建一个新策略。
-
在 策略规则 下的 最先运行的规则组 中,选择 添加规则组。展开 Amazon 托管规则组。对于核心规则集,切换添加至网页ACL。对于Amazon 已知的错误输入,请切换添加到网页ACL。选择 添加规则。
对于 最后运行的规则组,请选择 添加规则组。展开Amazon 托管规则组,在 Amazon IP 信誉列表中,切换添加到网页ACL。选择 添加规则。
在 “第一个规则组” 下,选择 “核心规则集”,然后选择 “向下移动”。 Amazon WAF 先根据Amazon 已知的错误输入规则组评估 Web 请求,然后再根据核心规则集进行评估。
如果需要,也可以使用 Amazon WAF 控制台创建自己的 Amazon WAF 规则组。您创建的任何规则组都将显示在描述策略:添加规则组页面的您的规则组下。
您通过 Firewall Manager 管理的第一个和最后一个 Amazon WAF 规则组的名称分别以
PREFMManaged-
或POSTFMManaged-
开头,后跟防火墙管理器策略名称和规则组创建时间戳(以UTC毫秒为单位)。例如,PREFMManaged-MyWAFPolicyName-1621880555123
。 -
将 Web 的默认操作保留为 “允ACL许”。
-
将 策略操作 保留为默认状态,以便不会自动修复不合规的资源。您随后可以更改此选项。
-
选择下一步。
-
对于 策略范围,您可以提供用于标识要应用策略的资源的账户、资源类型和标签设置。在本教程中,请保留 Amazon Web Services 账户 和资源的默认设置,然后选择一种或多种资源类型。
-
对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。你可以使用包含或排除,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器。
如果输入多个标签,则资源必须具有要包括或排除的所有标签。
资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。
-
选择下一步。
-
对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要做出的更改。
-
若您满意所创建的策略,请选择 创建策略。
Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息
第 3 步:清理
为了避免产生不必要的费用,请删除任何非必要的策略和资源。
删除策略 (控制台)
-
在 Amazon Firewall Manager 策略 页面上,选择策略名称旁边的单选按钮,然后选择删除。
-
在 删除 确认框中,选择 删除所有策略资源,然后再次选择 删除。
Amazon WAF 移除该政策及其在您的账户中创建的所有关联资源ACLs,例如网页。更改可能需要几分钟才能传播到所有账户。