本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
托管列表
托管应用程序和协议列表简化了 Amazon Firewall Manager 内容审核安全组策略的配置和管理。您可以使用托管列表来定义您的策略允许和不允许的协议与应用程序。有关内容审核安全组策略的信息,请参阅 内容审核安全组策略。
您可以在内容审核安全组策略中使用以下类型的托管列表:
-
Firewall Manager 应用程序列表和协议列表:这些列表由 Firewall Manager 管理。
-
应用程序列表包括
FMS-Default-Public-Access-Apps-Allowed和FMS-Default-Public-Access-Apps-Denied,它们描述了应允许或拒绝向公众开放的常用应用程序。 -
协议列表
FMS-Default-Protocols-Allowed包括应允许公众使用的常用协议列表。您可以使用 Firewall Manager 管理的任何列表,但不能对其进行编辑或删除。
-
-
自定义应用程序列表和协议列表 – 这些列表由您管理。您可以使用所需的设置创建任一类型的列表。您可以完全控制自己的自定义托管列表,也可以根据需要创建、编辑和删除它们。
注意
目前,当您删除自定义托管列表时,Firewall Manager 不会检查对它的引用。这意味着,即使处于活动状态的策略正在使用自定义托管应用程序列表或协议列表,您也可以将其删除。但该操作可能导致策略停止运行。因此,在确认任何有效策略均未引用应用程序列表或协议列表之后,才可将其删除。
托管列表是 Amazon 资源。您可以为自定义托管列表添加标签。您无法为 Firewall Manager 托管列表添加标签。
托管列表版本控制
自定义托管列表没有版本。编辑自定义列表时,引用该列表的策略会自动使用更新的列表。
Firewall Manager 托管列表已进行版本控制。Firewall Manager 服务团队根据需要发布新版本,以便将最佳安全实践应用于列表。
在策略中使用 Firewall Manager 托管列表时,您可以按如下方式选择版本控制策略:
-
最新可用版本 – 如果您没有为列表指定明确的版本设置,则您的策略将自动使用最新版本。这是控制台中唯一可用的选项。
-
显式版本 – 如果您为列表指定版本,则您的策略将使用该版本。在您修改版本设置之前,您的策略将一直锁定在您指定的版本。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDK 来定义策略。
有关为列表选择版本设置的更多信息,请参阅 在内容审核安全组策略中使用托管列表。
在内容审核安全组策略中使用托管列表
创建内容审核安全组策略时,可以选择使用托管审核策略规则。此选项的某些设置需要托管应用程序列表或协议列表。这些设置的示例包括安全组规则中允许的协议以及可以访问互联网的应用程序。
以下限制适用于使用托管列表的每个策略设置:
-
对于任何设置,最多可以指定一个 Firewall Manager 托管列表。默认情况下,您最多可以指定一个自定义列表。自定义列表限制是软限额,因此您可以申请增加该限额。有关更多信息,请参阅 Amazon Firewall Manager 配额。
-
在控制台中,如果您选择 Firewall Manager 托管列表,则无法指定版本。该策略将始终使用最新版本的列表。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDK 来定义策略。有关 Firewall Manager 托管列表版本控制的信息,请参阅 托管列表版本控制。
有关通过控制台创建内容审核安全组策略的信息,请参阅 创建内容审核安全组策略。
创建自定义托管应用程序列表
要创建自定义托管应用程序列表
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
在导航窗格中,选择应用程序列表。
-
在应用程序列表页面中,选择创建应用程序列表。
-
在创建应用程序列表页面中,为您的列表命名。请勿使用前缀
fms-,因为这是为 Firewall Manager 保留的前缀。 -
通过提供协议和端口号或从类型下拉列表中选择应用程序来指定应用程序。为您的应用程序规格命名。
-
根据需要选择添加另一个,然后填写应用程序信息,直到完成列表为止。
-
(可选)为列表应用标签。
-
选择保存以保存您的列表并返回到应用程序列表页面。
创建自定义托管协议列表
要创建新的自定义托管协议列表
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
在导航窗格中,选择协议列表。
-
在协议列表页面中,选择创建协议列表。
-
在协议列表创建页面,为列表命名。请勿使用前缀
fms-,因为这是为 Firewall Manager 保留的前缀。 -
指定协议。
-
根据需要选择添加另一个,然后填写协议信息,直到完成列表为止。
-
(可选)为列表应用标签。
-
选择保存以保存您的列表并返回到协议列表页面。
查看托管列表
查看应用程序列表或协议列表
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
在导航窗格中,选择应用程序列表或协议列表。
该页面显示了可供您使用的所有选定类型的列表。Firewall Manager 管理的列表的ManagedList列中有一个 Y。
-
要查看列表的详细信息,请选择列表名称。详情页面显示列表的内容和所有标签。
对于 Firewall Manager 管理列表,您还可以通过选择版本下拉列表来查看可用版本。
删除自定义托管列表
您可以删除自定义托管名单。您不可对 Firewall Manager 管理的列表进行编辑或删除。
注意
目前,当您删除自定义托管列表时,Firewall Manager 不会检查对它的引用。这意味着,即使处于活动状态的策略正在使用自定义托管应用程序列表或协议列表,您也可以将其删除。但该操作可能导致策略停止运行。因此,在确认任何有效策略均未引用应用程序列表或协议列表之后,才可将其删除。
要删除自定义托管应用程序或协议列表
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
通过执行以下操作,确保您的任何审核安全组策略中均未使用您要删除的列表:
在导航窗格中,选择 安全策略。
-
在 Amazon Firewall Manager 策略页面中,选择并编辑您的审核安全组,并删除对要删除的自定义列表的所有引用。
如果您删除审核安全组策略中正在使用的自定义托管列表,则使用该列表的策略可能会停止运行。
-
在导航窗格中,根据要删除的列表类型,选择应用程序列表或协议列表。
在列表页面中,选择要删除的自定义列表,然后选择删除。