设置 AWS Firewall Manager Palo Alto Networks 云下一代防火墙策略。

要为 Palo Alto Networks Cloud NGFW（控制台）创建 Firewall Manager 策略

1. 使用您的 Firewall Manager 管理员账户登录 AWS 管理控制台，然后通过以下网址打开 Firewall Manager 控制台：https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息，请参阅 AWS Firewall Manager 先决条件。

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅 AWS Firewall Manager 先决条件。

2. 在导航窗格中，选择安全策略。

3. 选择创建策略。

4. 对于策略类型，请选择 Palo Alto Networks Cloud NGFW。如果您还没有在 AWS Marketplace 上订阅 Palo Alto Networks Cloud NGFW 服务，则需要先行订阅。要在 AWS Marketplace 上订阅，请选择 查看 AWS Marketplace 详情。

5. 对于部署模型，选择分布式模型或集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式，Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下，Firewall Manager 在检查 VPC 中维护单个端点。

6. 对于区域，选择 AWS 区域。为了保护多个区域中的资源，您必须为每个区域创建单独的策略。

7. 选择下一步。

8. 对于策略名称，请键入策略的描述性名称。

9. 在策略配置中，选择要与此策略关联的 Palo Alto Networks Cloud NGFW 防火墙策略。Palo Alto Networks Cloud NGFW 防火墙策略列表包含与您的 Palo Alto Networks Cloud NGFW 租户关联的所有 Palo Alto Networks Cloud NGFW 防火墙策略。有关创建和管理 Palo Alto Networks Cloud NGFW 防火墙策略的信息，请参阅面向 AWS 的 Palo Alto Networks Cloud NGFW 部署指南中的 使用 AWS Firewall Manager 部署面向 AWS 的 Palo Alto Networks Cloud NGFW。

10. 对于 Palo Alto Networks Cloud NGFW 日志记录（可选），可以选择为您的策略记录哪种 Palo Alto Networks Cloud NGFW 日志类型。有关 Palo Alto Networks Cloud NGFW 日志类型的信息，请参阅面向 AWS 的 Palo Alto Networks Cloud NGFW 部署指南中的 在 AWS 上为 Palo Alto Networks Cloud NGFW 配置日志记录。

    对于日志记录目标，指定 Firewall Manager 何时应写入日志。

11. 选择下一步。

12. 在配置第三方防火墙端点下，根据创建防火墙端点的部署模型（分布式部署模型或集中式部署模型）执行以下操作之一：

    • 如果您为此策略使用分布式部署模型，请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。

    • 如果您使用此策略的集中式部署模型，请在检查 VPC 配置下的 AWS Firewall Manager端点配置中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。

      • 在可用区下，选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。

13. 选择下一步。

14. 对于策略作用域，在 AWS 账户 本策略适用于下，选择以下选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项包括我的 AWS 组织下的所有账户。

    • 如果只想将策略应用于特定账户或特定 AWS Organizations 组织单位 (OU) 中的账户，请选择 仅包括指定的账户和组织单位，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 AWS Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 排除指定的账户和组织单位，并包括所有其他账户和组织单位，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会根据您的设置自动评估任何新账户。例如，如果您仅包括了特定账户，Firewall Manager 便不会将策略应用于任何新账户。另一个例子是，如果包括了 OU，则在向 OU 或其任何子 OU 添加账户时，Firewall Manager 会自动将策略应用到新账户。

    Network Firewall 策略的资源类型是 VPC。

15. 对于资源，可以使用标签来缩小策略的范围，您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”，但两者不能同时使用。有关定义策略范围的标签的更多信息，请参阅 使用 AWS Firewall Manager 策略范围。

    资源标签只能有非空值。如果忽略标签的值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

16. 对于授予跨账户存取权限，请选择下载 CloudFormation 模板。这将下载可用于创建 CloudFormation 堆栈的 CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色，该角色授予 Firewall Manager 跨账户管理 Palo Alto Networks Cloud NGFW 资源的权限。有关堆栈的信息，请参阅 CloudFormation 用户指南中的使用堆栈。

17. 选择下一步。

18. 对于策略标签，请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息，请参阅使用标签编辑器。

19. 选择下一步。

20. 查看新的政策设置，然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源，但不自动修复。这样，您就可以在启用更改之前查看策略要做出的更改。

21. 若您满意所创建的策略，请选择创建策略。

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理，并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅。查看 AWS Firewall Manager 策略的合规性信息