托管列表 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管列表

托管应用程序和协议列表简化了Amazon Firewall Manager内容审核安全组策略。您可以使用托管列表定义策略允许和禁止的协议和应用程序。有关内容审核安全组策略的信息,请参阅。内容审核安全组策略.

您可以在内容审计安全组策略中使用以下类型的托管列表:

  • Firewall Manager 应用列表和协议列表— Firewall Manager 管理这些列表。

    • 应用程序列表包括FMS-Default-Public-Access-Apps-AllowedFMS-Default-Public-Access-Apps-Denied,其中描述了应允许或拒绝公众使用的常用应用程序。

    • 协议列表包括FMS-Default-Protocols-Allowed,列出了应允许公众使用的常用协议。您可以使用 Firewall Manager 管理的任何列表,但无法编辑或删除它。

  • 自定义应用程序列表和协议列表— 您可以管理这些列表。您可以使用需要的设置创建任一类型的列表。您可以完全控制自己的自定义托管列表,并且可以根据需要创建、编辑和删除它们。

    注意

    目前,Firewall Manager 不会在删除自定义托管列表时检查对其的引用。这意味着即使活动策略正在使用自定义托管应用程序列表或协议列表,您也可以删除该列表或协议列表。这可能会导致策略停止运行。仅在验证应用程序列表或协议列表未被任何活动策略引用之后,才删除该列表或协议列表。

托管列表为Amazon资源的费用。您可以为自定义托管列表添加标记。您无法标记 Firewall Manager 托管列表。

托管列表版本

自定义托管列表没有版本。编辑自定义列表时,引用该列表的策略会自动使用更新后的列表。

Firewall Manager 托管列表是版本化的。Firewall Manager 服务团队根据需要发布新版本,以便将最佳安全实践应用于列表。

在策略中使用 Firewall Manager 托管列表时,可以按如下方式选择版本控制策略:

  • 最新可用版本— 如果不为列表指定显式版本设置,则策略自动使用最新版本。这是通过控制台唯一可用的选项。

  • 显式版本— 如果为列表指定版本,则策略将使用该版本。在修改版本设置之前,您的策略将保持锁定到您指定的版本。要指定版本,您必须在控制台外部定义策略,例如通过 CLI 或其中一个 SDK 定义策略。

有关为列表选择版本设置的更多信息,请参阅。在内容审核安全组策略中使用托管列表.

在内容审核安全组策略中使用托管列表

创建内容审计安全组策略时,可以选择使用托管审计策略规则。此选项的某些设置需要托管应用程序列表或协议列表。这些设置的示例包括安全组规则中允许的协议和应用程序可以访问 Internet。

以下限制适用于使用托管列表的每个策略设置:

  • 您最多可以为任何设置指定一个 Firewall Manager 托管列表。默认情况下,您最多可以指定一个自定义列表。自定义列表限制是软配额,因此您可以请求增加它。有关更多信息,请参阅Amazon Firewall Manager 配额

  • 在控制台中,如果选择 Firewall Manager 托管列表,则无法指定版本。策略将始终使用最新版本的列表。要指定版本,您必须在控制台外部定义策略,例如通过 CLI 或其中一个 SDK 定义策略。有关 Firewall Manager 托管列表的版本控制的信息,请参阅托管列表版本.

有关通过控制台创建内容审计安全组策略的信息,请参阅创建内容审核安全组策略.

创建自定义托管应用程序列表

创建自定义托管应用程序列表

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择应用程序列表.

  3. 应用程序列表页面上,选择创建应用程序列表.

  4. 创建应用程序列表页面上,为您的列表命名。请勿使用前缀fms-,因为这是为 Firewall Manager 保留的。

  5. 指定应用程序,方法是提供协议和端口号,或者通过从类型下拉菜单。为应用程序规范指定名称。

  6. 选择添加其他并填写申请信息,直到您完成列表为止。

  7. (可选)将标签应用到列表。

  8. 选择Save保存您的列表并返回应用程序列表页.

创建自定义托管协议列表

创建自定义托管协议列表

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择协议列表.

  3. 协议列表页面上,选择创建协议列表.

  4. 在协议列表创建页面中,为您的列表指定一个名称。请勿使用前缀fms-,因为这是为 Firewall Manager 保留的。

  5. 指定协议。

  6. 选择添加其他并填写协议信息,直到您完成列表为止。

  7. (可选)将标签应用到列表。

  8. 选择Save保存您的列表并返回协议列表页.

查看托管列表

查看应用程序列表或协议列表

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择应用程序列表或者协议列表.

    该页面显示可供您使用的所选类型的所有列表。Firewall Manager 管理的列表具有Y中的管理列表column.

  3. 要查看列表的详细信息,请选择其名称。详细信息页面显示列表的内容和任何标签。

    对于 Firewall Manager 托管列表,您还可以通过选择版本下拉菜单。

删除自定义托管列表

您可以删除自定义托管列表。无法编辑或删除 Firewall Manager 管理的列表。

注意

目前,Firewall Manager 不会在删除自定义托管列表时检查对其的引用。这意味着即使活动策略正在使用自定义托管应用程序列表或协议列表,您也可以删除该列表或协议列表。这可能会导致策略停止运行。仅在验证应用程序列表或协议列表未被任何活动策略引用后才删除该列表或协议列表。

删除自定义托管应用程序或协议列表

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 请执行以下操作,确保要删除的列表未在任何审核安全组策略中使用:

    1. 在导航窗格中,选择 Security policies (安全策略)。

    2. Amazon Firewall Manager策略页面上,选择和编辑审计安全组,并删除对要删除的自定义列表的任何引用。

      如果删除审计安全组策略中正在使用的自定义托管列表,则使用该列表的策略可能会停止运行。

  3. 在导航窗格中,选择应用程序列表或者协议列表,具体取决于要删除的列表的类型。

  4. 在列表页面中,选择要删除的自定义列表,然后选择Delete.