Amazon WAF 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF 策略

在 Firewall Manager 中Amazon WAF策略中,您可以指定Amazon WAF要跨资源使用的规则组。当您应用策略时,在策略范围内的每个账户中,Firewall Manager 创建一个由 Firewall Manager 管理的 Web ACL。在生成的 Web ACL 中,除了您通过 Firewall Manager 定义的规则组之外,各个客户经理还可以添加规则和规则组。

当 Firewall Manager 为策略创建 Web ACL 时,它会将 Web ACL 命名为FMManagedWebACLV2-policy name-timestamp. 时间戳以 UTC 毫秒表示。例如:FMManagedWebACLV2-MyWAFPolicyName-1621880374078

Amazon Firewall Manager为 Web ACL 和规则组启用采样和 Amazon CloudWatch 指标,这些指标是它为Amazon WAF政策。

中的规则组Amazon Firewall ManagerAmazon WAF策略

由 Firewall Manager 管理的 Web ACLAmazon WAF策略包含三个规则集。这些规则集为 Web ACL 中的规则和规则组提供了更高级的优先级划分机制:

  • 由您在 Firewall Manager 中定义的 “最先运行的规则组”Amazon WAF政策。Amazon WAF会首先评估这些规则组。

  • 由账户经理在 Web ACL 中定义的规则和规则组。Amazon WAF 会在中间评估任何客户托管的规则或规则组。

  • 由您在 Firewall Manager 中定义的 “最后运行的规则组”Amazon WAF政策。Amazon WAF会最后评估这些规则组。

在其中的每个规则集中,Amazon WAF 会按照规则和规则组在规则集中的优先级设置照常评估规则和规则组。

在策略的“最先运行的规则组”集和“最后运行的规则组”集中,您只能添加规则组。您可以使用托管规则组,Amazon托管规则和Amazon Web Services Marketplace卖家为您创建和维护。您也可以管理和使用自己的规则组。有关所有这些操作的更多信息,请参阅规则组

注意

Firewall Manager 支持新Amazon WAF机器人控制托管规则组。有关机器人控制的信息,请参阅Amazon WAF,请参阅Amazon WAF自动程序控制.

如果要使用自己的规则组,请先创建这些规则组,然后再创建 Firewall Manager。Amazon WAF政策。有关操作指南,请参阅 管理您自己的规则组。要使用单个自定义规则,您必须定义自己的规则组,再在其中定义您的规则,然后在策略中使用该规则组。

第一个和最后一个Amazon WAF通过 Firewall Manager 管理的规则组的名称以PREFMManaged-或者POSTFMManaged-,后跟 Firewall Manager 策略名称和规则组创建时间戳(以 UTC 毫秒为单位)。例如:PREFMManaged-MyWAFPolicyName-1621880555123

有关 Amazon WAF 如何评估 Web 请求的信息,请参阅 Web ACL 规则和规则组评估

对于创建 Firewall Manager 的过程Amazon WAF策略,请参阅为 Amazon WAF 创建Amazon Firewall Manager策略.

Firewall Manager 为您定义的规则组启用采样和 Amazon CloudWatch 指标Amazon WAF政策。

个人帐户所有者可以完全控制他们添加到策略托管 Web ACL 的任何规则或规则组的指标和采样配置。

为 配置日志记录Amazon Firewall ManagerAmazon WAF策略

您可以为您的Amazon WAF策略,以获取有关组织内流量的详细信息。日志中的信息包括Amazon WAF收到了来自Amazon资源、有关请求的详细信息,以及每个请求与范围内所有账户匹配的规则的操作。有关 Amazon WAF 日志记录的更多信息,请参阅 记录 Web ACL 流量信息

注意

Amazon Firewall Manager支持此选项以支持最新版本的Amazon WAF,而不是用于Amazon WAFClassic。

当您启用集中日志记录Amazon WAF策略,Firewall Manager 将在 Firewall Manager 管理员帐户中为策略创建 Web ACL,如下所示:

  • Firewall Manager 在 Firewall Manager 管理员帐户中创建 Web ACL,无论该帐户是否在策略的范围内。

  • Web ACL 已启用日志记录,日志名称为FMManagedWebACLV2-Loggingpolicy name-timestamp,其中时间戳是为 Web ACL 启用日志的 UTC 时间,以毫秒为单位。例如:FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180。Web ACL 没有规则组,也没有关联的资源。

  • 您需要根据网络 ACL 的Amazon WAF定价指南。有关更多信息,请参阅 Amazon WAF定价

  • 当您删除策略时,Firewall Manager 会删除 Web ACL。

注意

Firewall Manager 不会修改组织成员帐户中的任何现有日志记录配置。

您可以将策略的 Web ACL 中的日志发送到已配置存储目标的 Amazon Kinesis Data Firehose。启用日志记录后,Amazon WAF将每个已配置的 Web ACL 的日志通过 Kinesis Data Firehose 的 HTTPS 端点传送到配置的存储目标。在使用它之前,请测试您的交付流,以确保它具有足够的吞吐量来容纳组织的日志。有关如何创建 Amazon Kinesis Data Firehose 以及查看存储的日志的更多信息,请参阅什么是 Amazon Kinesis Data Firehose?

您必须拥有以下权限才能成功启用日志记录:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

有关服务相关角色以及iam:CreateServiceLinkedRole权限,请参阅将服务相关角色用于 Amazon WAF.

要启用日志记录,请执行Amazon WAF策略

  1. 使用 Firewall Manager 管理员账户创建 Amazon Kinesis Data Firehose。使用以前缀开头的名称aws-waf-logs-. 例如:aws-waf-logs-firewall-manager-central。使用 PUT 源,在您执行操作的区域中创建 Data Firehose。如果您为 Amazon CloudFront 捕获日志,请在美国东部(弗吉尼亚北部)创建 Firehose。在使用它之前,请测试您的交付流,以确保它具有足够的吞吐量来容纳组织的日志。有关更多信息,请参阅 。创建 Amazon Kinesis Data Firehose 传输流.

  2. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  3. 在导航窗格中,选择安全策略.

  4. 选择Amazon WAF策略启用日志记录。有关 Amazon WAF 日志记录的更多信息,请参阅 记录 Web ACL 流量信息

  5. 在存储库的策略详细信息选项卡上的策略规则部分中,选择。编辑.

  6. 适用于日志记录配置状态中,选择Enabled (已启用).

  7. 选择您为日志记录创建的 Kinesis Data Firehose wall (Kinesis Data Firewall)。您必须选择以开始的 Firehoseaws-waf-logs-.

  8. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择 Add (添加)。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 XXX。例如,如果您将URI字段中,URI字段将为XXX.

  9. (可选)如果您不希望将所有请求发送到日志,请添加您的筛选条件和行为。NTER筛选日志,对于要应用的每个筛选器,选择 Create a添加筛选器,然后选择筛选条件并指定是要保留还是删除符合条件的请求。完成添加过滤器后,如果需要,请修改默认日志记录行为.

  10. 选择 Next (下一步)

  11. 检视您的设置,然后选择Save以保存对策略所做的更改。

禁用日志记录Amazon WAF策略

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择安全策略.

  3. 选择Amazon WAF策略,以禁用日志记录。

  4. 在存储库的策略详细信息选项卡上的策略规则部分中,选择。编辑.

  5. 适用于日志记录配置状态中,选择Disabled.

  6. 选择 Next (下一步)

  7. 检视您的设置,然后选择Save以保存对策略所做的更改。