设置 Amazon Firewall ManagerAmazon WAF 策略 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
步骤 1:完成先决条件步骤 2:创建并应用 Amazon WAF 策略步骤 3:清理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

设置 Amazon Firewall ManagerAmazon WAF 策略

若要使用 Amazon Firewall Manager 在整个组织内启用 Amazon WAF 规则,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 Amazon Firewall Manager 准备您的账户有几个必要步骤。Amazon Firewall Manager 先决条件 中介绍了这些步骤。在继续执行步骤 2:创建并应用 Amazon WAF 策略之前,请先满足所有先决条件。

步骤 2:创建并应用 Amazon WAF 策略

Firewall Manager Amazon WAF 策略包含您要应用于资源的规则组。Firewall Manager 会在您应用策略的每个账户中创建一个 Firewall Manager web ACL。除了您在此处定义的规则组之外,各个客户经理还可以向生成的 web ACL 中添加规则和规则组。有关 Firewall Manager Amazon WAF 策略的信息,请参阅 将 Amazon WAF 与 Firewall Manager 配合使用

创建 Firewall Manager Amazon WAF 策略(控制台)

使用您的 Firewall Manager 管理员账户登录 Amazon Web Services 管理控制台,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅 Amazon Firewall Manager 先决条件

  1. 在导航窗格中,选择安全策略

  2. 选择创建策略

  3. 对于 策略类型,选择 Amazon WAF

  4. 对于区域,选择 Amazon Web Services 区域。要保护 Amazon CloudFront 分配,请选择全球

    若要保护多个区域中的资源(而不是 CloudFront 分配),您必须为每个区域创建单独的 Firewall Manager 策略。

  5. 选择下一步

  6. 对于策略名称,请键入策略的描述性名称。Firewall Manager 在其管理的 web ACL 的名称中包含策略名称。web ACL 名称中包括 FMManagedWebACLV2-,后接您在此处输入的策略名称、-,以及 web ACL 创建时间戳(以 UTC 毫秒为单位)。例如 FMManagedWebACLV2-MyWAFPolicyName-1621880374078

    重要

    Web ACL 名称在创建后无法更改。如果您更新策略的名称,Firewall Manager 将不会更新关联的 web ACL 名称。要让 Firewall Manager 创建具有不同名称的 web ACL,您必须创建新的策略。

  7. 策略规则 下的 最先运行的规则组 中,选择 添加规则组。展开 Amazon 托管规则组。对于 核心规则集,切换 添加到 web ACL。对于 Amazon 已知不良输入,请切换添加到 web ACL。选择添加规则

    对于 最后运行的规则组,请选择 添加规则组。展开 Amazon 托管规则组,对于 Amazon IP 声誉列表,切换添加到 web ACL。选择添加规则

    最先运行的规则组下,选择核心规则集,然后选择向下移动。Amazon WAF 会先根据 Amazon 已知不良输入规则组评估 web 请求,然后再根据核心规则集进行评估。

    如果需要,您还可以使用 Amazon WAF 控制台创建自己的 Amazon WAF 规则组。您创建的任何规则组都将显示在描述策略:添加规则组页面的您的规则组下。

    您通过 Firewall Manager 管理的第一个和最后一个 Amazon WAF 规则组的名称分别以 PREFMManaged-POSTFMManaged- 开头,后接 Firewall Manager 策略名称和规则组创建时间戳(以 UTC 毫秒为单位)。例如 PREFMManaged-MyWAFPolicyName-1621880555123

  8. 将 web ACL 的默认操作保留为 允许

  9. 策略操作 保留为默认状态,以便不会自动修复不合规的资源。您随后可以更改此选项。

  10. 选择下一步

  11. 对于 策略范围,您可以提供用于标识要应用策略的资源的账户、资源类型和标签设置。在本教程中,请保留 Amazon Web Services 账户资源的默认设置,然后选择一种或多种资源类型。

  12. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 使用 Amazon Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  13. 选择下一步

  14. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  15. 选择下一步

  16. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保策略操作设置为确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  17. 若您满意所创建的策略,请选择创建策略

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 查看 Amazon Firewall Manager 策略的合规性信息

步骤 3:清理

为了避免产生不必要的费用,请删除任何非必要的策略和资源。

删除策略(控制台)

  1. Amazon Firewall Manager 策略 页面上,选择策略名称旁边的单选按钮,然后选择删除

  2. 删除 确认框中,选择 删除所有策略资源,然后再次选择 删除

    Amazon WAF 会删除策略及其在您账户中创建的任何关联资源(如 web ACL)。更改可能需要几分钟才能传播到所有账户。