**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 AWS Firewall Manager Fortigate CNF 政策
<a name="getting-started-fms-fortigate-cnf"></a>

Fortigate 云原生防火墙 (CNF) 即服务是一项第三方防火墙服务，您可以将其用于您的策略。 AWS Firewall Manager 使用 Fortigate CNF for Firewall Manager，您可以在所有账户中创建和集中部署 Fortigate CNF 资源和策略集。 AWS AWS Firewall Manager 要使用启用 Fortigate CNF 策略，请按顺序执行以下步骤。有关 Fortigate CNF 策略 的更多信息，请参阅 [将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略](fortigate-cnf-policies.md)。

**Topics**
+ [步骤 1：完成一般先决条件](#complete-fms-prereq-fortigate-cnf)
+ [步骤 2：完成 Fortigate CNF 策略先决条件](#complete-prereq-fortigate-cnf)
+ [步骤 3：创建和应用 Fortigate CNF 策略](#get-started-fms-fortigate-cnf-create-policy)

## 步骤 1：完成一般先决条件
<a name="complete-fms-prereq-fortigate-cnf"></a>

为 AWS Firewall Manager准备您的账户有几个必要步骤。[AWS Firewall Manager 先决条件](fms-prereq.md) 中介绍了这些步骤。在继续执行下一步之前，请完成所有先决条件。

## 步骤 2：完成 Fortigate CNF 策略先决条件
<a name="complete-prereq-fortigate-cnf"></a>

要使用 Fortigate CNF 策略，您还必须完成其他强制性步骤。[Fortigate 云原生防火墙 (CNF) 即服务策略先决条件](fms-third-party-prerequisites.md#fms-fortigate-cnf-prerequisites) 中介绍了这些步骤。在继续执行下一步之前，请完成所有先决条件。

## 步骤 3：创建和应用 Fortigate CNF 策略
<a name="get-started-fms-fortigate-cnf-create-policy"></a>

完成先决条件后，您可以创建 AWS Firewall Manager Fortigate CNF 策略。

有关 Fortigate CNF 的 Firewall Manager 策略的更多信息，请参阅 [将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略](fortigate-cnf-policies.md)。

**创建适用于 Fortigate CNF 的 Firewall Manager 策略（控制台）**

1.  AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录，然后打开防火墙管理器控制台，网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息，请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**  
有关设置 Firewall Manager 管理员账户的信息，请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。

1. 在导航窗格中，选择 **安全策略**。

1. 选择**创建策略**。

1. 对于**策略类型**，请选择 Fortigate CNF。如果你还没有在 Marketpl AWS ace 上订阅 Fortigate CNF 服务，则需要先订阅。要在 AWS Marketplace 上订阅，请选择 “**查看 AWS 商城详情**”。

1. 对于**部署模型**，选择**分布式模型**或**集中式模型**。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式，Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下，Firewall Manager 在检查 VPC 中维护单个端点。

1. 对于**区域**，选择一个 AWS 区域。为了保护多个区域中的资源，您必须为每个区域创建单独的策略。

1. 选择**下一步**。

1. 在策略配置中，选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与您的 Fortigate CNF 租户关联的所有 Fortigate CNF 防火墙策略。有关创建和管理 Fortigate CNF 防火墙策略的信息，请参阅 [Fortinet CNF 文档](https://docs.fortinet.com/product/fortigate-cnf)。

1. 选择**下一步**。

1. 在**配置第三方防火墙端点**下，根据创建防火墙端点的部署模型（分布式部署模型或集中式部署模型）执行以下操作之一：
   + 如果您为此策略使用分布式部署模型，请在**可用区**下选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
   + 如果您使用此策略的集中式部署模型，请在**检查 VPC 配置**下的 **AWS Firewall Manager 端点配置**中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。
     + 在**可用区**下，选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。

1. 选择**下一步**。

1. 对于**策略作用域**，在 **AWS 账户 本策略适用于**下，选择以下选项：
   + 如果要将该政策应用于组织中的所有账户，请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
   + 如果您只想将该策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户（OUs），请选择 “**仅包括指定的帐户和组织单位**”，然后添加要包括的帐户。 OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs，包括任何子账户 OUs 和稍后添加的帐户。
   + 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs)，请选择**排除指定的账户和组织单位，并包括所有其他**账户和组织单位 OUs ，然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs，包括任何子账户 OUs 和稍后添加的帐户。

   您只能选择其中一个选项。

   应用策略后，Firewall Manager 会根据您的设置自动评估任何新账户。例如，如果您仅包括了特定账户，Firewall Manager 便不会将策略应用于任何新账户。再举一个例子，如果您包含一个 OU，则在向 OU 或其任何子级添加帐户时 OUs，Firewall Manager 会自动将策略应用于新帐户。

   Fortigate CNF 策略的**资源类型**为 **VPC**。

1. 对于**资源**，可以使用标签来缩小策略的范围，您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”，但两者不能同时使用。有关定义策略范围的标签的更多信息，请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。

   资源标签只能有非空值。如果忽略标签的值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

1. 对于**授予跨账户存取权限**，请选择**下载 CloudFormation 模板**。这将下载一个可用于创建 CloudFormation 堆栈的 CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色，该角色授予 Firewall Manager 跨账户管理 Fortigate CNF 资源的权限。有关堆栈的信息，请参阅 *CloudFormation 用户指南*中的[使用堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)。要创建堆栈，您需要来自 Fortigate CNF 门户网站的账户 ID。

1. 选择**下一步**。

1. 对于**策略标签**，请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息，请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 选择**下一步**。

1. 查看新的政策设置，然后返回需要进行任何调整的页面。

   进行检查以确保**策略操作**设置为**确定不符合策略规则的资源，但不自动修复**。这样，您就可以在启用更改之前查看策略要做出的更改。

1. 若您满意所创建的策略，请选择**创建策略**。

   **AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**，并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)

有关 Firewall Manager Fortigate CNF 策略的更多信息，请参阅 [将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略](fortigate-cnf-policies.md)。