设置 AWS Firewall ManagerAWS Network Firewall 策略

创建 Firewall Manager Network Firewall 策略（控制台）

1. 使用您的 Firewall Manager 管理员账户登录 AWS 管理控制台，然后通过以下网址打开 Firewall Manager 控制台：https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息，请参阅 AWS Firewall Manager 先决条件。

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅 AWS Firewall Manager 先决条件。

2. 在导航窗格中，选择安全策略。

3. 如果您未满足先决条件，控制台会显示有关如何解决任何问题的说明。按照说明操作，然后返回此步骤以创建 Network Firewall 策略。

4. 选择创建安全策略。

5. 对于 策略类型，选择 AWS Network Firewall。

6. 对于区域，选择 AWS 区域。

7. 选择下一步。

8. 对于策略名称，请键入策略的描述性名称。

9. 策略配置允许您定义防火墙策略。这与 AWS Network Firewall 控制台中使用的过程相同。您可以添加要在策略中使用的规则组，并提供默认的无状态操作。在本教程中，配置此策略的过程和在 Network Firewall 中配置防火墙策略的过程一样。

   注意

   AWS Firewall Manager Network Firewall 策略会自动进行自动修正，因此此处不提供不自动修正的选项。

10. 选择下一步。

11. 对于防火墙端点，请选择多个防火墙端点。此选项可为您的防火墙提供高可用性。创建策略时，Firewall Manager 会在每个您要保护公有子网的可用区中创建一个防火墙子网。

12. 对于 AWS Network Firewall 路由配置，请选择监控，让 Firewall Manager 监控您的 VPC 是否存在路由配置违规行为，并通过补救建议提醒您，以帮助您使路由合规。或者，如果您不想让 Firewall Manager 监控您的路由配置并接收这些警报，请选择关闭。

    注意

    监控为您提供有关由于路由配置错误而导致的不合规资源的详细信息，并建议通过 Firewall Manager GetViolationDetails API 采取补救措施。例如，如果流量未通过策略创建的防火墙端点进行路由，则 Network Firewall 会发出警报。

    警告

    如果您选择监控，则将来无法将该策略更改为关闭。为此，您必须创建新的策略。

13. 对于流量类型，选择添加到防火墙策略以通过互联网网关进行流量路由。

14. 受此策略影响的 AWS 账户 选项允许您指定要包括或排除的账户，以此来缩小策略的范围。对于本教程，选择 包括我的组织下的所有账户。

    Network Firewall 策略的资源类型始终是 VPC。

15. 对于资源，可以使用标签来缩小策略的范围，您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”，但两者不能同时使用。有关定义策略范围的标签的更多信息，请参阅 使用 AWS Firewall Manager 策略范围。

    资源标签只能有非空值。如果忽略标签的值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

16. 选择下一步。

17. 对于策略标签，请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息，请参阅使用标签编辑器。

18. 选择下一步。

19. 查看新的政策设置，然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源，但不自动修复。这样，您就可以在启用更改之前查看策略要做出的更改。

20. 若您满意所创建的策略，请选择创建策略。

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理，并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅。查看 AWS Firewall Manager 策略的合规性信息

21. 在探索完成后，如果您不希望保留为本教程创建的策略，请依次选择策略名称、删除、清除此策略创建的资源，最后选择删除。