本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Network Firewall 政策
您可以使用 Amazon Firewall Manager Network Amazon Network Firewall Firewall 策略来管理组织中的亚马逊虚拟私有云 VPC 的防火墙。 Amazon Organizations您可以将集中控制的防火墙应用于整个组织或部分账户和 VPC。
Network Firewall 为您的 VPC 中的公共子网提供网络流量过滤保护。Firewall Manager 根据您的策略所定义的防火墙管理类型创建和管理您的防火墙。Firewall Manager 提供以下防火墙管理模型:
分布式 – 对于策略范围内的每个账户和 VPC,Firewall Manager 都会创建网络防火墙防火墙,并将防火墙端点部署到 VPC 子网以过滤网络流量。
集中式 – Firewall Manager 在单个 Amazon VPC 中创建单个 Network Firewall 防火墙。
导入现有防火墙 – Firewall Manager 在单个 Firewall Manager 策略中导入现有防火墙进行管理。您可以对策略管理的导入防火墙应用其他规则,以确保您的防火墙符合您的安全标准。
注意
Firewall Manager 网络防火墙策略是 Firewall Manager 策略,用于管理组织中 VPC 的网络防火墙保护。
Network Firewall 保护在 Network Firewall 服务的资源中指定,这些资源被称为防火墙策略。
有关使用 Network Firewall 的信息,请参阅 Amazon Network Firewall 开发人员指南。
以下各节介绍使用 Firewall Manager Network Firewall 策略的要求,并描述了这些策略的工作原理。有关创建策略的过程,请参阅 为创建 Amazon Firewall Manager 策略 Amazon Network Firewall。
您必须启用资源共享
Network Firewall 策略在组织中的账户之间共享 Network Firewall 规则组。要启用此功能,必须为 Amazon Organizations启用资源共享。有关如何启用资源共享的信息,请参阅 Network Firewall 和 DNS 防火墙策略的资源共享。
您必须定义您的 Network Firewall 规则组
当您指定新的 Network Firewall 策略时,您可以像 Amazon Network Firewall 直接使用时一样定义防火墙策略。您可以指定要添加的无状态规则组、默认的无状态操作和有状态规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中,才能将其包含在策略中。有关创建 Network Firewall 规则组的信息,请参阅 Amazon Network Firewall 规则组。
Firewall Manager 如何创建防火墙端点
策略中的防火墙管理类型决定了 Firewall Manager 如何创建防火墙。您的策略可以创建分布式防火墙、集中式防火墙,也可以导入现有防火墙:
-
分布式 – 在分布式部署模型下,Firewall Manager 会为策略范围内的每个 VPC 创建端点。您可以通过指定要在哪些可用区域中创建防火墙端点来自定义端点位置,也可以通过 Firewall Manager 在具有公用子网的可用区中自动创建端点。如果您手动选择可用区,则可以选择限制每个可用区允许的 CIDR 集。如果您决定让 Firewall Manager 自动创建端点,则还必须指定该服务是在您的 VPC 中创建单个端点还是多个防火墙端点。
-
对于多个防火墙端点,Firewall Manager 会在每个可用区部署一个防火墙端点,在该可用区中,您的子网中或带有一个互联网网关,或在路由表中有一个由 Firewall Manager 创建的防火墙端点路由。这是 Network Firewall 策略的默认选项。
-
对于单个防火墙端点,Firewall Manager 在任何具有互联网网关路由的子网中的单个可用区中部署防火墙端点。使用此选项,其他区域的流量需要跨越区域边界才能被防火墙过滤。
注意
对于这两个选项,都必须有一个子网与其中包含 IPv4/PrefixList 路由的路由表相关联。Firewall Manager 不检查任何其他资源。
-
-
集中式 – 使用集中部署模型,Firewall Manager 可在检查 VPC 内创建一个或多个防火墙端点。检查 VPC 是一个中央 VPC,Firewall Manager 可以在其中启动您的端点。当您使用集中式部署模型时,您还需要指定要在哪些可用区中创建防火墙端点。创建策略后不能更改检查 VPC。要使用其他检查 VPC,您必须创建新的策略。
-
导入现有防火墙 – 导入现有防火墙时,您可以通过向策略中添加一个或多个资源集来选择要在策略中管理的防火墙。资源集是指由组织中的账户管理的资源集合,在本例中这些资源就是 Network Firewall 中的现有防火墙。在策略中使用资源集之前,必须首先创建一个资源集。有关 Firewall Manager 资源集的信息,请参阅 在 Firewall Manager 中使用资源集。
使用导入的防火墙时请注意以下事项:
-
如果导入的防火墙不合规,Firewall Manager 将尝试自动解决违规问题,但以下情况除外:
Firewall Manager 和 Network Firewall 策略的有状态或无状态默认操作不匹配。
导入的防火墙的防火墙策略中的规则组与 Firewall Manager 策略中的规则组具有相同的优先级。
导入的防火墙使用的防火墙策略与该策略资源集以外的防火墙关联。之所以会发生这种情况,是因为一个防火墙只能具有一个防火墙策略,但是一个防火墙策略可以与多个防火墙相关联。
属于已导入的防火墙的防火墙策略(也在防火墙管理器策略中指定)的已有规则组被赋予不同的优先级。
如果在策略中启用资源清理,Firewall Manager 将从资源集范围内的防火墙中删除 FMS 导入策略中的规则组。
由防火墙管理器导入现有防火墙管理类型所管理的防火墙,一次只能由一个策略管理。如果将相同的资源集添加到多个导入网络防火墙策略中,则该资源集中的防火墙将由资源集所加入的第一个策略管理,而第二个策略将忽略该资源集中的防火墙。
Firewall Manager 当前不支持异常策略配置的流式传输。有关直播异常策略的信息,请参阅 Amazon Network Firewall 开发人员指南中的直播异常策略。
-
如果您使用分布式或集中式防火墙管理更改策略的可用区域列表,Firewall Manager 将尝试清理过去创建但当前不在策略范围内的任何端点。只有在没有引用超出范围端点的路由表路由时,Firewall Manager 才会删除该端点。如果 Firewall Manager 发现无法删除这些端点,它会将防火墙子网标记为不合规,并将继续尝试删除该端点,直到可以安全删除为止。
Firewall Manager 如何管理您的防火墙子网
防火墙子网是 Firewall Manager 为过滤网络流量的防火墙端点创建的 VPC 子网。每个防火墙端点都必须部署在专用 VPC 子网中。Firewall Manager 在策略范围内的每个 VPC 中至少创建一个防火墙子网。
对于使用分布式部署模型和自动端点配置的策略,Firewall Manager 仅在可用区域中创建防火墙子网,这些子网的子网带有互联网网关路由,或者子网具有通往 Firewall Manager 为其策略创建的防火墙端点的路由。有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 和子网。
对于使用分布式或集中式模式(您指定 Firewall Manager 在哪个可用区中创建防火墙端点)的策略,无论可用区中是否有其他资源,Firewall Manager 都会在这些特定的可用区中创建一个端点。
首次定义 Network Firewall 策略时,需要指定 Firewall Manager 如何管理范围内每个 VPC 中的防火墙子网。此后您不能对此选项进行更改。
对于使用分布式部署模型和自动端点配置的策略,您可以在以下选项中进行选择:
-
为每个具有公有子网的可用区部署防火墙子网。这是默认行为。这为您的流量过滤保护提供了高可用性。
-
在一个可用区中部署单个防火墙子网。通过此选项,Firewall Manager 可以识别 VPC 中哪个区域的公有子网最多,并在该区域创建防火墙子网。单个防火墙端点可过滤 VPC 的所有网络流量。这种方式可以降低防火墙成本,但其可用性不高,需要来自其他区域的流量才能跨越区域边界,以实现过滤。
对于使用带有自定义端点配置的分布式部署模型或集中式部署模型的策略,Firewall Manager 会在策略范围内的指定可用区中创建子网。
您可以提供 VPC CIDR 块供 Firewall Manager 用于防火墙子网,也可以将防火墙端点地址的选择留给 Firewall Manager 来决定。
-
如果您不提供 CIDR 块,Firewall Manager 会查询您的 VPC 以获取可供使用的 IP 地址。
-
如果您提供 CIDR 块列表,Firewall Manager 将仅在您提供的 CIDR 块中搜索新子网。您必须使用 /28 CIDR 块。对于 Firewall Manager 创建的每个防火墙子网,它会遍历您的 CIDR 阻止列表,并使用它找到的第一个适用于可用区和 VPC 且具有可用地址的子网。如果 Firewall Manager 无法在 VPC 中找到开放空间(有或没有限制),则该服务不会在 VPC 中创建防火墙。
如果 Firewall Manager 无法在可用区中创建所需的防火墙子网,则会将该子网标记为不符合策略。当该区域处于这种状态时,该区域的流量必须跨越区域边界,才能被其他区域中的端点过滤。这与单防火墙子网场景类似。
Firewall Manager 如何管理您的 Network Firewall 资源
在 Firewall Manager 中定义策略时,需要提供标准 Amazon Network Firewall 防火墙策略的网络流量过滤行为。您可以添加无状态和有状态的 Network Firewall 规则组,并为与任何无状态规则不匹配的数据包指定默认操作。有关在中使用防火墙策略的信息 Amazon Network Firewall,请参阅Amazon Network Firewall 防火墙策略。
对于分布式和集中式策略,当您保存网络防火墙策略时,Firewall Manager 会在策略范围内的每个 VPC 中创建防火墙和防火墙策略。Firewall Manager 通过连接以下值来命名这些网络防火墙资源:
-
固定字符串,可以是
FMManagedNetworkFirewall或FMManagedNetworkFirewallPolicy,具体取决于资源类型。 -
Firewall Manager 策略名称。这是您在创建策略时为其分配的名称。
-
Firewall Manager 策略 ID。这是 Firewall Manager 策略的 Amazon 资源 ID。
-
Amazon VPC ID。这是 Firewall Manager 在其中创建防火墙和防火墙策略的 VPC 的 Amazon 资源 ID。
以下是由 Firewall Manager 管理的防火墙的名称示例:
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
下面显示了一个防火墙策略名称示例:
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
创建策略后,VPC 中的成员账户无法覆盖您的防火墙策略设置或规则组,但他们可以将规则组添加到 Firewall Manager 创建的防火墙策略中。
Firewall Manager 如何为您的策略管理和监控 VPC 路由表
注意
使用集中部署模型的策略目前不支持路由表管理。
当 Firewall Manager 创建您的防火墙端点时,它还会为它们创建 VPC 路由表。但是,Firewall Manager 并不管理您的 VPC 路由表。您必须将 VPC 路由表配置为将网络流量导向由 Firewall Manager 创建的防火墙端点。使用 Amazon VPC 入口路由增强功能,更改您的路由表以通过新的防火墙端点来路由流量。您的更改必须在要保护的子网和外部位置之间插入防火墙端点。您需要执行的确切路由取决于您的架构及其组件。
当前,Firewall Manager 允许监控您的 VPC 路由表路由,以查看任何绕过防火墙而流向互联网网关的流量。Firewall Manager 不支持其他目标网关,例如 NAT 网关。
有关管理您的 VPC 路由表的信息,请参阅 Amazon Virtual Private Cloud 用户指南中的管理 VPC 的路由表。有关管理 Network Firewall 路由表的信息,请参阅 Amazon Network Firewall 开发人员指南中的 Amazon Network Firewall的路由表配置。
当您为策略启用监控时,Firewall Manager 会持续监控 VPC 路由配置,并提醒您注意绕过该 VPC 的防火墙检查的流量。如果子网有防火墙端点路由,Firewall Manager 会查找以下路由:
-
将流量发送至 Network Firewall 端点的路由。
-
用于将流量从 Network Firewall 端点转发到互联网网关的路由。
-
从互联网网关到 Network Firewall 端点的入站路由。
-
来自防火墙子网的路由。
如果子网有网络防火墙路由,但网络防火墙和您的互联网网关路由表中存在非对称路由,Firewall Manager 会将该子网报告为不合规。Firewall Manager 还会在 Firewall Manager 创建的防火墙路由表以及子网的路由表中检测到互联网网关的路由,并将其报告为不合规。Network Firewall 子网路由表和您的互联网网关路由表中的其他路由也被报告为不合规。根据违规类型,Firewall Manager 会建议采取修正措施,使路由配置合规。Firewall Manager 并非在所有情况下都提供建议。例如,如果您的客户子网中有一个在 Firewall Manager 之外创建的防火墙端点,则 Firewall Manager 不会建议采取修正措施。
默认情况下,Firewall Manager 会将所有跨可用区边界以供检查的流量标记为不合规。但是,如果您选择在您的 VPC 中自动创建单个端点,Firewall Manager 不会将跨可用区边界的流量标记为不合规。
对于使用带有自定义端点配置的分布式部署模型的策略,您可以选择将从没有防火墙端点的可用区跨可用区边界的流量标记为合规或不合规。
注意
-
Firewall Manager 不建议对非 IPv4 路由(例如 IPv6 和前缀列表路由)采取修正措施。
-
使用
DisassociateRouteTableAPI 调用发出的调用最长可能需要 12 小时才会被检测到。 -
Firewall Manager 为包含防火墙端点的子网创建网络防火墙路由表。Firewall Manager 假设此路由表仅包含有效的互联网网关和 VPC 默认路由。此路由表中的任何额外或无效路由都被视为不合规。
在配置 Firewall Manager 策略时,如果选择监控模式,Firewall Manager 将提供有关您的资源的资源违规和修正详细信息。您可以使用这些建议的修正措施来修正路由表中的路由问题。如果您选择关闭模式,Firewall Manager 不会为您监控您的路由表内容。使用此选项,您可以自己管理 VPC 路由表。有关这些资源违规行为的更多信息,请参阅 查看 Amazon Firewall Manager 策略的合规性信息。
警告
如果您在创建策略时在 “ Amazon Network Firewall 路由配置” 下选择 “监控”,则无法为该策略将其关闭。但是,如果您选择关闭,则可以稍后再启用该配置。
为 Amazon Network Firewall 策略配置日志记录
您可以为 Network Firewall 策略启用集中日志记录,以获取有关组织内流量的详细信息。您可以选择流量日志来捕获网络流量,也可以选择警报日志来报告与规则操作设置为 DROP 或 ALERT 的规则相匹配的流量。有关 Amazon Network Firewall
日志记录的更多信息,请参阅 Amazon Network Firewall 开发人员指南中的录入来自 Amazon Network Firewall的网络流量。
您将日志从策略的 Network Firewall 防火墙发送到 Amazon S3 存储桶。启用日志记录后,通过更新防火墙设置来 Amazon Network Firewall 传送每个已配置的 Network Firewall 的日志,将日志传送到您选定的带有保留 Amazon Firewall Manager 前缀的 Amazon S3 存储桶。<policy-name>-<policy-id>
注意
Firewall Manager 使用此前缀来确定日志配置是由 Firewall Manager 添加的,还是由账户所有者添加的。如果账户所有者尝试将保留的前缀用于自己的自定义日志记录,则该前缀会被 Firewall Manager 策略中的日志配置覆盖。
有关如何创建 Amazon S3 存储桶和查看存储日志的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的什么是 Amazon S3?。
要启用日志记录功能,您必须满足以下要求:
-
您在Firewall Manager 策略中指定的 Amazon S3 必须存在。
-
您必须拥有以下权限:
logs:CreateLogDeliverys3:GetBucketPolicys3:PutBucketPolicy
-
如果作为您的日志目标的 Amazon S3 存储桶使用服务器端加密,且密钥存储在中 Amazon Key Management Service,则必须将以下策略添加到 Amazon KMS 客户管理的密钥中,以允许 Firewall Manager 登录到您的 CloudWatch 日志组:
{ "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }
请注意,只有 Firewall Manager 管理员账户中的存储分区可以用于 Amazon Network Firewall 集中日志记录。
在 Network Firewall 策略上启用集中日志记录时,Firewall Manager 会对您的账户执行以下操作:
Firewall Manager 会更新所选 S3 存储桶的权限以允许传送日志。
Firewall Manager 在 S3 存储桶中为策略范围内的每个成员账户创建目录。每个账户的日志可在
<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>找到。
启用 Network Firewall 策略的日志记录
使用 Firewall Manager 管理员账户创建 Amazon S3 存储桶。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的创建存储桶。
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
在导航窗格中,选择安全策略。
选择要为其启用日志记录的 Network Firewall 策略。有关 Amazon Network Firewall 日志记录的更多信息,请参阅Amazon Network Firewall 开发者指南 Amazon Network Firewall中的记录网络流量。
在策略详细信息选项卡的策略规则部分,选择编辑。
要启用和聚合日志,请在日志配置下选择一个或多个选项:
启用和聚合流日志
启用和聚合警报日志
选择需要将日志传输到哪个 Amazon S3 存储桶。您必须为启用的每种日志类型选择一个存储桶。同一存储桶可以同时用于两种日志类型。
(可选)如果您希望将自定义成员账户创建的日志记录替换为策略的日志配置,请选择覆盖现有日志配置。
选择下一步。
查看您的设置,然后选择保存以保存对策略的更改。
禁用 Network Firewall 策略的日志记录
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
在导航窗格中,选择安全策略。
选择要为其禁用日志记录的 Network Firewall 策略。
在策略详细信息选项卡的策略规则部分,选择编辑。
在日志配置状态下,取消选择启用并聚合流日志和启用并聚合警报日志(如果已选中)。
选择下一步。
查看您的设置,然后选择保存以保存对策略的更改。