在 Firewall Manager 中迁移 AWS WAF Classic Web ACL - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器
在 AWS WAF Classic 策略中迁移 Web ACL在 Shield Advanced 策略中迁移 Web ACL

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

在 Firewall Manager 中迁移 AWS WAF Classic Web ACL

这两种情况下,Firewall Manager 可能会使用 AWS WAF Classic WebACL:

  1. 使用 AWS WAF Classic 策略

  2. 使用 2022 年 1 月之前创建的 Shield Advanced 策略

在 AWS WAF Classic 策略中迁移 Web ACL

要从 AWS WAF Classic 策略迁移 web ACL,必须先将所有 AWS WAF Classic 规则组迁移到 AWS WAF(v2)规则组。然后,您可以使用迁移后的规则组创建新策略。

  1. 使用此迁移脚本:AWS WAF批量迁移脚本,将 AWS WAF Classic 规则组迁移到 AWS WAF(v2)规则组。

  2. 使用以下设置创建新 AWS WAF 策略:

    • 使用新迁移的 AWS WAF(v2)规则组

    • 启用自动修复

  3. 对于要迁移的账户:

    1. 从旧 AWS WAF Classic 策略中删除账户

    2. 等待约 2-3 分钟

    3. 将账户添加到新 AWS WAF 策略的范围内

    4. (可选)使用资源标签筛选,将策略范围缩小到特定资源

  4. 验证迁移:

    1. 确认新 AWS WAF 策略已创建 v2 web ACL

    2. 验证 Firewall Manager 是否已将新的 web ACL 与相应资源相关联

在 Shield Advanced 策略中迁移 Web ACL

Firewall Manager 中的应用程序层 DDoS 自动缓解仅适用于使用 AWS WAF(v2)创建的 web ACL。如果想在 Firewall Manager 策略中使用自动缓解,并且您的策略当前使用 AWS WAF Classic web ACL,则必须将其迁移到 AWS WAF(v2)。可以一次迁移所有 web ACL,也可以逐个账户迁移。

一次迁移所有 Web ACL

要一次迁移 Shield Advanced 策略中的所有 web ACL,可使用策略的自动修复功能:

  1. 通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fms

  2. 选择 Shield Advanced 策略。

  3. 启用自动修复,并选择将 AWS WAF Classic web ACL 替换为 AWS WAF(v2)web ACL 的选项。

Firewall Manager 根据需要创建新的 AWS WAF(v2)web ACL,并管理资源关联从 Classic 到 v2 web ACL 的迁移。

逐个账户迁移 Web ACL

要逐个账户迁移 web ACL,请执行以下步骤:

  1. 使用以下设置创建新的 Shield Advanced 策略:

    • 将自动应用程序层 DDoS 缓解设置为禁用

    • 启用自动修复

  2. 对于要迁移的账户:

    1. 从旧 Shield Advanced 策略中删除账户

    2. 等待约 2-3 分钟

    3. 将账户添加到新 Shield Advanced 策略的范围内

    4. (可选)使用资源标签筛选,将策略范围缩小到特定资源

  3. 验证迁移:

    1. 确认新的 Shield Advanced 策略已创建 AWS WAF(v2)web ACL

    2. 验证 Firewall Manager 是否已将新的 web ACL 与相应资源相关联