**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS Firewall Manager 策略
AWS Firewall Manager 提供了以下类型的策略。对于每种策略类型,可以定义:
+ **AWS WAF****策略 — F** irewall Manager 支持的策略 AWS WAF 和 AWS WAF 经典策略。对于这两个版本,您都可以定义哪些资源受策略保护。
+ AWS WAF 策略类型需要一组规则组在 Web ACL 中首先运行,最后一次运行。然后,在应用 Web ACL 的账户中,账户所有者可以添加要在这两组之间运行的规则和规则组。
+ AWS WAF 经典策略类型需要在 Web ACL 中运行单个规则组。
+ **Shield Advanced 策略**:此策略类型在整个组织中为指定的资源类型应用 Shield Advanced 保护。
+ **Amazon VPC 安全组策略**:此策略类型向您提供对组织内安全组的控制,并让您可以在组织中实施一组基准规则。
+ **Amazon VPC 网络访问控制列表 (ACL)** 策略 — 此策略类型使您可以控制整个组织中使用的网络 ACLs ,并允许您在 ACLs 整个组织中强制执行一组基准网络。
+ **Network Firewall 策略**-此策略类型将 AWS Network Firewall 保护应用于您的组织 VPCs。
+ **Amazon Route 53 Resolver DNS 防火墙政策** — 此政策将 DNS 防火墙保护应用于您的组织。 VPCs
+ **第三方防火墙策略**:此策略类型应用第三方防火墙保护。[第三方防火墙可以通过在 Marketplace 上的 AWS Marketplace 控制台AWS 订阅获得。](https://aws.amazon.com/marketplace)
+ **帕洛阿尔托网络云下一代防火墙政策 — 此政策类型将帕洛阿尔托网络云下一代防火墙(NGFW**)保护和帕洛阿尔托网络云下一代防火墙(NGFW)保护和帕洛阿尔托网络云NGFW规则堆栈应用于您的组织。 VPCs
+ **Fortigate 云原生防火墙 (CNF) 即服务策略**:此策略类型适用于 Fortigate 云原生防火墙 (CNF) 即服务保护。Fortigate CNF 是一种以云为中心的解决方案,可通过行业领先的高级威胁防护、智能 Web 应用程序防火墙 (WAF) 和 API 保护来阻止未修补的威胁并保护云基础架构。
Firewall Manager 策略特定于单独的策略类型。如果要跨账户实施多个策略类型,您可以创建多个策略。您可以为每种类型创建多个策略。
如果您向使用 AWS Organizations创建的组织添加新帐户,Firewall Manager 会自动将该策略应用于该账户中在该策略范围内的资源。
## AWS Firewall Manager 策略的常规设置
AWS Firewall Manager 托管策略有一些常见的设置和行为。您可以对所有人指定名称并定义策略的范围,还可以使用资源标记来控制策略范围。您可以选择在不采取纠正措施的情况下查看不合规的账户和资源,也可以选择自动修复不合规资源。
有关策略范围的信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
# 创建 AWS Firewall Manager 策略
创建策略的步骤因策略类型而异。请确保使用适用于所需策略类型的过程。
**重要**
AWS Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照[为 AWS 资源添加 AWS Shield Advanced 保护](configure-new-protection.md)中的说明操作。
**Topics**
+ [为创建 AWS Firewall Manager 策略 AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [为 AWS WAF 经典版创建 AWS Firewall Manager 策略](#creating-firewall-manager-policy-for-classic-waf)
+ [为创建 AWS Firewall Manager 策略 AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [创建 AWS Firewall Manager 通用安全组策略](#creating-firewall-manager-policy-common-security-group)
+ [创建 AWS Firewall Manager 内容审计安全组策略](#creating-firewall-manager-policy-audit-security-group)
+ [创建 AWS Firewall Manager 使用情况审计安全组策略](#creating-firewall-manager-policy-usage-security-group)
+ [创建 AWS Firewall Manager 网络 ACL 策略](#creating-firewall-manager-policy-network-acl)
+ [为创建 AWS Firewall Manager 策略 AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [为 Amazon Route 53 解析器 DNS 防火墙创建 AWS Firewall Manager 策略](#creating-firewall-manager-policy-for-dns-firewall)
+ [为 Palo Alto Networks Cloud AWS Firewall Manager 制定政策 NGFW](#creating-cloud-ngfw-policy)
+ [为 Fortigate 云原生防火墙 (CNF) 即服务创建 AWS Firewall Manager 策略](#creating-fortigate-cnf-policy)
## 为创建 AWS Firewall Manager 策略 AWS WAF
在 Firewall Manager AWS WAF 策略中,您可以使用托管规则组,该 AWS 组由 AWS Marketplace 卖家为您创建和维护。您也可以创建和使用自己的规则组。有关规则组的更多信息,请参阅 [AWS WAF 规则组](waf-rule-groups.md)。
如果要使用自己的规则组,请在创建 Firewall Manager AWS WAF 策略之前创建这些规则组。有关指南,请参阅[管理您自己的规则组](waf-user-created-rule-groups.md)。要使用单个自定义规则,您必须定义自己的规则组,再在其中定义您的规则,然后在策略中使用该规则组。
有关 Firewall Manager AWS WAF 策略的信息,请参见[在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。
**为 AWS WAF (控制台)创建 Firewall Manager 策略**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于 **策略类型**,选择 **AWS WAF**。
1. 在 “**区域**” 中,选择一个 AWS 区域。要保护 Amazon 的 CloudFront 配送,请选择 “**全球**”。
要保护多个区域( CloudFront 分布除外)中的资源,必须为每个区域创建单独的 Firewall Manager 策略。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。Firewall Manager 在其管理的网络 ACLs 名称中包含策略名称。web ACL 名称中包括 `FMManagedWebACLV2-`,后接您在此处输入的策略名称、`-`,以及 web ACL 创建时间戳(以 UTC 毫秒为单位)。例如 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。
1. 对于 **Web 请求正文检查**,可以选择更改正文大小限制。有关正文检查大小限制的信息,包括定价注意事项,请参阅*AWS WAF 开发人员指南*中的 [管理人体检查的注意事项 AWS WAF](web-acl-setting-body-inspection-limit.md)。
1. 在 “**策略规则**” 下,在 Web ACL 中添加 AWS WAF 要首先和最后评估的规则组。要使用 AWS WAF 托管规则组版本控制,请切换**启用版本控制**。各客户经理可以在最先运行的规则组和最后运行的规则组之间添加规则和规则组。有关在 Firewall Manager 策略中使用 AWS WAF 规则组的更多信息 AWS WAF,请参阅[在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。
(可选)要自定义 web ACL 使用规则组的方式,请选择**编辑**。以下是常见的自定义设置:
+ 对于托管规则组,覆盖部分或全部规则的规则操作。如果您没有为规则定义覆盖操作,则评估将使用规则组中定义的规则操作。有关此选项的更多信息,请参阅 *AWS WAF 开发人员指南*中的 [覆盖中的规则组操作 AWS WAF](web-acl-rule-group-override-options.md)。
+ 某些托管规则组要求您提供其他配置。请参阅您的托管规则组提供程序所提供的文档。有关 AWS 托管规则组的特定信息,请参阅*AWS WAF 开发者指南[AWS 的托管规则 AWS WAF](aws-managed-rule-groups.md)*中的。
完成设置后,选择**保存规则**。
1. 设置 web ACL 的默认操作。这是 AWS WAF 在 Web 请求与 Web ACL 中的任何规则都不匹配时采取的操作。您可以使用**允许**操作添加自定义标题,也可以为**屏蔽**操作添加自定义响应。有关默认 web ACL 操作的更多信息,请参阅 [在中设置保护包 (Web ACL) 的默认操作 AWS WAF](web-acl-default-action.md)。有关设置自定义 web 请求和响应的信息,请参阅 [自定义的 Web 请求和响应 AWS WAF](waf-custom-request-response.md)。
1. 对于**日志记录配置**,选择**启用日志记录**以打开日志记录。日志记录提供了有关 web ACL 对流量进行分析的详细信息。选择**日志记录目标**,然后选择您配置的日志记录目标。必须选择名称以 `aws-waf-logs-` 开头的日志记录目标。有关配置 AWS WAF 日志目标的信息,请参阅[在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。
1. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择**添加**。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 `REDACTED`。例如,如果您编辑 **URI** 字段,则日志中的 **URI** 字段将为 `REDACTED`。
1. (可选)如果您不想向日志发送所有请求,请添加您的筛选条件和行为。在**筛选日志**下,对于要应用的每个筛选器,选择**添加筛选条件**,然后选择您的筛选条件并指定是要保留还是删除符合条件的请求。添加完筛选条件后,如果需要,可以修改**默认日志记录行为**。有关更多信息,请参阅《AWS WAF 开发人员指南》**中的 [查找保护包(web ACL)记录](logging-management.md)。
1. 您可以定义**令牌域列表**,以便在受保护的应用程序之间实现令牌共享。当您使用 AWS WAF 欺诈控制账户接管预防 (ATP) 和 AWS WAF 机器人控制的 AWS 托管规则组时,令牌由和Challenge操作以及应用程序集成 SDKs 使用。CAPTCHA
不允许使用公共后缀。例如,您不能使用 `gov.au` 或 `co.uk` 作为令牌域。
默认情况下,仅 AWS WAF 接受受保护资源域的令牌。如果您在此列表中添加令牌域,则 AWS WAF 接受列表中所有域和关联资源域的令牌。有关更多信息,请参阅《AWS WAF 开发人员指南》**中的 [AWS WAF 保护包 (Web ACL) 令牌域列表配置](waf-tokens-domains.md#waf-tokens-domain-lists)。
只有在编辑现有 web ACL 时,才能更改 web ACL 的验证码和挑战**免疫时间**。您可以在 Firewall Manager **策略详细信息**页面下找到这些设置。有关这些设置的信息,请参阅 [将时间戳到期时间和令牌免疫时间设置为 AWS WAF](waf-tokens-immunity-times.md)。如果您更新现有策略中的**关联配置**、**验证码**、**挑战**或**令牌域列表**设置,Firewall Manager 将 ACLs 使用新值覆盖您的本地网站。但是,如果您不更新政策的**关联配置**、**CAPTCHA、**Ch** allenge 或 T** **oken 域名列表**设置,则本地网络中的值 ACLs 将保持不变。有关此选项的更多信息,请参阅 *AWS WAF 开发人员指南*中的 [CAPTCHA然后Challenge在 AWS WAF](waf-captcha-and-challenge.md)。
1. 在 **Web ACL 管理**下,选择 Firewall Manager 如何管理 web ACL 的创建和清理。
1. 在 “**管理未关联的网站**” ACLs 中,选择 Firewall Manager 是否管理未关联的网站。 ACLs使用此选项,只有当网络将由至少一个资源使用时,Firewall Manager 才 ACLs 会 ACLs 为策略范围内的帐户创建网页。当某个账户进入策略范围时,如果至少有一个资源将使用 web ACL,则 Firewall Manager 会自动在该账户中创建一个 web ACL。
启用此选项后,Firewall Manager 会对您账户 ACLs 中未关联的网页执行一次性清理。清理过程可能需要数小时的时间。如果资源在 Firewall Manager 创建 web ACL 后离开策略范围,Firewall Manager 将取消该资源与 web ACL 的关联,但不清理未关联的 web ACL。Firewall Manager 只有在策略 ACLs 中首次启用对未关联网页的管理 ACLs 时才会清理未关联的网页。
1. 对于 **Web ACL 来源**,请指定是 ACLs 为范围内的资源创建所有新网页,还是尽可能改造现有网页 ACLs 。Firewall Manager 可以改造由范围内账户拥有的网站 ACLs 。
默认行为是创建所有新网页 ACLs。如果选择此选项,则所有由 Firew ACLs all Manager 管理的 Web 的名称都将以开头`FMManagedWebACLV2`。如果您选择改造现有网页 ACLs,则改造后的网页 ACLs 将使用其原始名称,而由 Firewall Manager 创建的网页的名称将以开头。`FMManagedWebACLV2`
1. 对于**策略操作**,如果您要在组织内的每个适用账户中创建 Web ACL,但尚未将 Web ACL 应用于任何资源,请选择 “**识别不符合策略规则但不自动修复的资源”,也不要选择 “管理未关联的网站”,也**不要选择 “**管理未关联**的网站”。 ACLs您随后可以更改这些选项。
若要自动将策略应用于现有的范围内资源,请选择 **自动修复任何不合规的资源**。如果禁用 “**管理未关联 ACLs的 Web**”,“**自动修复任何不合规的资源**” 选项将在组织内的每个适用账户中创建一个 Web ACL,并将该 Web ACL 与账户中的资源相关联。如果启用**管理未关联 ACLs的 Web**,则**自动修复任何不合规的资源选项仅在拥有符合**与 Web ACL 关联的资源的账户中创建 Web ACL 并将其关联。
当选择 “**自动修复任何不合规的资源**” 时,对于不受其他活动的 Firewall Manager 策略管理的 Web,也可以选择从范围内的资源中移除现有 Web ACLs ACL 关联。如果选择此选项,Firewall Manager 首先将策略的 web ACL 与资源关联,然后删除之前的关联。如果某个资源与另一个由其他活动的 Firewall Manager 策略管理的 web ACL 具有关联,则此选择不会影响该关联。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。 OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 对于 **资源类型**,选择要保护的资源的类型。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
若您满意所创建的策略,请选择**创建策略**。**AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)
## 为 AWS WAF 经典版创建 AWS Firewall Manager 策略
**为 AWS WAF 经典版创建 Firewall Manager 策略(控制台)**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于**策略类型**,选择 **AWS WAF Classic**。
1. 如果您已经创建了要添加到策略中的 AWS WAF 经典规则组,请选择**创建 AWS Firewall Manager 策略并添加现有规则组**。如果要创建新规则组,请选择**创建 Firewall Manager 策略并添加新规则组**。
1. 在 “**区域**” 中,选择一个 AWS 区域。要保护 Amazon CloudFront 资源,请选择 “**全球**”。
要保护多个区域中的资源( CloudFront 资源除外),必须为每个区域创建单独的 Firewall Manager 策略。
1. 选择**下一步**。
1. 如果您要创建规则组,请按照[创建 AWS WAF 经典规则组](classic-create-rule-group.md)中的说明操作。在创建规则组后,请继续执行以下步骤。
1. 输入策略名称。
1. 如果您要添加现有规则组,请使用下拉菜单选择要添加的规则组,然后选择 **添加规则组**。
1. 一个策略有两个可能的操作:**由规则组设置的操作**和**计数**。如果您要测试策略和规则组,请将操作设置为**计数**。此操作会覆盖该策略中的规则组所指定的任何*阻止* 操作。即,如果将策略的操作设置为**计数**,则只会对这些请求进行计数而不会阻止它们。相反,如果将策略的操作设置为 **由规则组设置的操作**,则会使用规则组规则的操作。选择适当的操作。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 选择要保护的资源的类型。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 如果您要将策略自动应用于现有资源,请选择 **创建此策略并将其应用于现有资源和新资源**。
此选项在 AWS 组织中的每个适用账户内创建一个 web ACL,并将 web ACL 与账户中的资源关联。此选项还将策略应用于符合上述条件(资源类型和标签)的所有新资源。或者,如果您选择 **创建策略但不将策略应用于现有资源或新资源**,则 Firewall Manager 会在组织内的每个适用账户中创建一个 web ACL,但不会将 web ACL 应用于任何资源。您稍后必须将策略应用于资源。选择适当的选项。
1. 对于 “**替换现有关联的 Web**” ACLs,您可以选择删除当前为范围内资源定义的任何 Web ACL 关联,然后将其替换为使用此策略创建 ACLs的 Web 关联。默认情况下,Firewall Manager 不会在添加新的 web ACL 关联之前删除现有的 web ACL 关联。如果要删除现有关联,请选择此选项。
1. 选择**下一步**。
1. 查看新策略。要进行任何更改,请选择**编辑**。若您满意所创建的策略,请选择 **创建并应用策略**。
## 为创建 AWS Firewall Manager 策略 AWS Shield Advanced
**为 Shield Advanced(控制台)创建 Firewall Manager 策略**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于**策略类型**,选择 **Shield Advanced**。
要创建 Shield Advanced 策略,您必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的更多信息,请参阅 [AWS Shield Advanced 定价](https://aws.amazon.com/shield/pricing/)。
1. 在 “**区域**” 中,选择一个 AWS 区域。要保护 Amazon 的 CloudFront配送,请选择 “**全球**”。
对于除**全球**以外的区域选项,要保护多个区域中的资源,必须为每个区域创建单独的 Firewall Manager 策略。
1. 选择**下一步**。
1. 对于**名称**,请键入策略的描述性名称。
1. 仅对于**全球**区域策略,您可以选择是否要管理 Shield Advanced 自动应用层 DDo S 缓解。有关 Shield Advanced 功能的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
您可以选择启用或禁用自动缓解,也可以选择忽略自动缓解。如果您选择忽略它,则 Firewall Manager 将完全不管理 Shield Advanced 保护的自动缓解。有关这些策略选项的详细信息,请参阅 [在 Firewall Manager Shield 高级策略中使用自动应用层 DDo S 缓解措施](shield-policies-auto-app-layer-mitigation.md)。
1. 在 **Web ACL 管理**下,如果希望 Firewall Manager 管理未关联的 Web ACLs,请启用 “**管理未关联的** Web”。 ACLs使用此选项,只有当网络将由至少一个资源使用时,Firewall Manager 才 ACLs 会在策略范围内的帐户 ACLs 中创建网页。当某个账户在任何时候进入策略范围时,如果至少有一个资源将使用 web ACL,则 Firewall Manager 会自动在该账户中创建一个 web ACL。启用此选项后,Firewall Manager 会对您账户 ACLs 中未关联的网页进行一次性清理。清理过程可能需要数小时的时间。如果资源在 Firewall Manager 创建 web ACL 后离开策略范围,Firewall Manager 不会取消该资源与 web ACL 的关联。要将 Web ACL 包含在一次性清理中,必须先手动取消资源与 Web ACL 的关联,然后启用 “**管理未**关联的 Web”。 ACLs
1. 对于**策略操作**,建议使用不自动修复不合规资源的选项来创建策略。禁用自动修正后,可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用自动修复。
若要自动将策略应用于现有的范围内资源,请选择 **自动修复任何不合规的资源**。此选项对 AWS 组织内的每个适用账户和账户中的每个适用资源应用 Shield Advanced 保护。
仅对于**全球**区域策略,如果您选择**自动修复任何不合规的资源**,则还可以选择让 Firewall Manager 自动将任何现有的经 AWS WAF 典 Web ACL 关联替换为使用最新版本 AWS WAF (v2) 创建的与 Web ACLs 的新关联。如果您选择此选项,Firewall Manager 会删除与早期版本网页的关联 ACLs 并创建与最新版本网络的新关联 ACLs,然后 ACLs 在任何尚未拥有该策略的范围内帐户中创建新的空网页。有关此选项的更多信息,请参阅 [将 AWS WAF 经典网页 ACLs 替换为最新版本的网页 ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version)。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将策略应用于组织中的所有账户,请保留默认选项**包括我的 AWS 组织下的所有账户**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 选择要保护的资源的类型。
Firewall Manager 不支持 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 来保护资源免受这些服务的侵害,则不能使用 Firewall Manager 策略。否则,请按照 [为 AWS 资源添加 AWS Shield Advanced 保护](configure-new-protection.md) 提供的 Shield Advanced 的指导进行操作。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
若您满意所创建的策略,请选择**创建策略**。**AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)
## 创建 AWS Firewall Manager 通用安全组策略
有关通用安全组策略的工作原理,请参阅 [使用 Firewall Manager 通用安全组策略](security-group-policies-common.md)。
创建通用安全组策略的前提是,您已在您的 Firewall Manager 管理员账户中创建了一个将用作策略主安全组的安全组。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。有关信息,请参阅 *Amazon VPC 用户指南*中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
**创建 通用安全组策略(控制台)**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于 **策略类型**,选择 **安全组**。
1. 对于 **安全组策略类型**,选择 **通用安全组**。
1. 在 “**区域**” 中,选择一个 AWS 区域。
1. 选择**下一步**。
1. 对于 **策略名称**,输入一个友好名称。
1. 对于**策略规则**,请执行以下操作:
1. 从规则选项中,选择要应用于安全组规则的限制以及策略范围内的资源。如果您选择**将标签从主要安全组分发给由此策略创建的安全组**,则还必须选择**识别并报告由此策略创建的安全组何时变得不合规**。
**重要**
Firewall Manager 不会将 AWS 服务添加的系统标签分发到副本安全组中。系统标签以 `aws:` 为前缀。此外,如果现有安全组的标签与组织的标签策略存在冲突,Firewall Manager 将不会更新现有安全组的标签或创建新的安全组。有关标签策略的信息,请参阅《 AWS Organizations 用户指南》中的[标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。
如果您选择**将安全组引用从主要安全组分发给由此策略创建的安全组**,则仅当安全组引用在 Amazon VPC 中具有有效的对等连接时,Firewall Manager 才会分发安全组引用。有关此选项的更多信息,请参阅 [使用 Firewall Manager 通用安全组策略](security-group-policies-common.md)。
1. 对于**主要安全组**,选择**添加安全组**,然后选择要使用的安全组。Firewall Manager 会填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的安全组列表。
默认情况下,每个策略的主要安全组最大数量为 3。有关该设置的信息,请参阅 [AWS Firewall Manager 配额](fms-limits.md)。
1. 对于 **策略操作**,建议使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用对不合规资源的自动修复。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 对于 **资源类型**,选择要保护的资源的类型。
对于 **EC2 实例**资源类型,可以选择修复所有 Amazon EC2 实例,也可以仅修复只有默认主要弹性网络接口 (ENI) 的实例。对于后一个选项,Firewall Manager 不会修复附加有其他 ENI 的实例。相反,在启用自动修复后,Firewall Manager 仅标记这些 EC2 实例的合规状态,而不应用任何修复操作。请前往 [安全组策略注意事项和限制](security-group-policies.md#security-groups-limitations) 参阅 Amazon EC2 资源类型的其他注意事项和限制。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 对于**共享 VPC 资源**,如果要将策略应用于共享中的资源 VPCs,以及 VPCs 账户拥有的资源,请选择**包含共享资源 VPCs**。
1. 选择**下一步**。
1. 查看策略设置,确保它们满足您的需求,然后选择 **创建策略**。
Firewall Manager 在范围内账户中包含的每个 Amazon VPC 实例中创建主要安全组的副本,不超过每个账户支持的 Amazon VPC 最大限额。Firewall Manager 将副本安全组与每个范围内账户的策略范围内的资源相关联。有关此策略工作方式的更多信息,请参阅[使用 Firewall Manager 通用安全组策略](security-group-policies-common.md)。
## 创建 AWS Firewall Manager 内容审计安全组策略
有关内容审核安全组策略的工作原理,请参阅 [使用 Firewall Manager 内容审核安全组策略](security-group-policies-audit.md)。
对于某些内容审核策略设置,您必须提供一个审核安全组以供 Firewall Manager 用作模板。例如,您可能有一个审核安全组,其中包含您在任何安全组中都不允许的所有规则。必须先使用 Firewall Manager 管理员账户创建这些审核安全组,然后才能在策略中使用它们。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。有关信息,请参阅 *Amazon VPC 用户指南*中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
**创建内容审核安全组策略(控制台)**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于 **策略类型**,选择 **安全组**。
1. 对于**安全组策略类型**,请选择**安全组规则的审核和执行**。
1. 在 “**区域**” 中,选择一个 AWS 区域。
1. 选择**下一步**。
1. 对于 **策略名称**,输入一个友好名称。
1. 对于**策略规则**,请选择要使用的托管或自定义策略规则选项。
1. 对于**配置托管审核策略规则**,请执行以下操作:
1. 在**配置待审核的安全组规则**中,选择要应用审核策略的安全组规则的类型。
1. 如果您想根据安全组中的协议、端口和 CIDR 范围设置执行诸如审核规则之类的操作,请选择**审核过于宽松的安全组规则**,然后选择所需的选项。
对于选择**规则允许所有流量**,您可以提供自定义应用程序列表来指定要审核的应用程序。有关自定义应用程序列表以及如何在策略中使用它们的信息,请参阅 [使用托管列表](working-with-managed-lists.md) 和 [使用托管列表](working-with-managed-lists.md#using-managed-lists)。
对于使用协议列表的选择,您可以使用现有列表,也可以创建新列表。有关协议列表以及如何在策略中使用这些列表的信息,请参阅 [使用托管列表](working-with-managed-lists.md) 和 [使用托管列表](working-with-managed-lists.md#using-managed-lists)。
1. 如果要根据他们对保留或非保留 CIDR 范围的访问权限来审核高风险,请选择**审核高风险应用程序**,然后选择所需的选项。
以下选项相互排斥:**只能访问保留 CIDR 范围的应用程序**和**允许访问非保留 CIDR 范围的应用程序**。您可以在任何策略中最多选择其中一项。
对于使用应用程序列表的选择,您可以使用现有列表,也可以创建新列表。有关应用程序列表以及如何在策略中使用它们的信息,请参阅 [使用托管列表](working-with-managed-lists.md) 和 [使用托管列表](working-with-managed-lists.md#using-managed-lists)。
1. 使用**覆盖**设置可以显式覆盖策略中的其他设置。您可以选择始终允许或始终拒绝特定的安全组规则,无论这些规则是否符合您为该策略设置的其他选项。
对于此选项,您可以提供一个审核安全组作为允许的规则或拒绝的规则模板。对于**审核安全组**,选择**添加审核安全组**,然后选择要使用的安全组。Firewall Manager 会填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的审核安全组列表。策略的审核安全组的默认最大限额为 1。有关增加限额的信息,请参阅 [AWS Firewall Manager 配额](fms-limits.md)。
1. 对于**配置自定义策略规则**,请执行以下操作:
1. 从规则选项中选择仅允许审核安全组中定义的规则,或是拒绝所有规则。有关此选择的信息,请参阅 [使用 Firewall Manager 内容审核安全组策略](security-group-policies-audit.md)。
1. 对于**审核安全组**,选择**添加审核安全组**,然后选择要使用的安全组。Firewall Manager 会填充 Firewall Manager 管理员账户中所有 Amazon VPC 实例的审核安全组列表。策略的审核安全组的默认最大限额为 1。有关增加限额的信息,请参阅 [AWS Firewall Manager 配额](fms-limits.md)。
1. 对于 **Policy action (策略操作)**,您必须使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用对不合规资源的自动修复。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 对于**资源类型**,选择要保护的资源的类型。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 查看策略设置,确保它们满足您的需求,然后选择 **创建策略**。
Firewall Manager 会根据您的策略规则设置将审核安全组与 AWS 组织内的安全组进行比较。您可以在策略控制台中查看 AWS Firewall Manager 策略状态。创建策略后,您可以对其进行编辑并启用自动修正,从而使您的审核安全组策略生效。有关此策略工作方式的更多信息,请参阅[使用 Firewall Manager 内容审核安全组策略](security-group-policies-audit.md)。
## 创建 AWS Firewall Manager 使用情况审计安全组策略
有关使用情况审核安全组策略的工作原理,请参阅 [使用 Firewall Manager 使用情况审核安全组策略](security-group-policies-usage.md)。
**创建使用情况审核安全组策略(控制台)**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于 **策略类型**,选择 **安全组**。
1. 对于**安全组策略类型**,选择**未关联和冗余安全组审核和清理**。
1. 在 “**区域**” 中,选择一个 AWS 区域。
1. 选择**下一步**。
1. 对于 **策略名称**,输入一个友好名称。
1. 对于 **策略规则**,选择其中一个或全部两个可用选项。
+ 如果您选择**此策略范围中的安全组必须至少由一个资源使用**,Firewall Manager 将删除它认为未使用的任何安全组。启用此规则时,Firewall Manager 将在您保存策略时最后运行它。
有关 Firewall Manager 如何确定使用情况和修复时间的详细信息,请参阅 [使用 Firewall Manager 使用情况审核安全组策略](security-group-policies-usage.md)。
**注意**
使用此使用情况审核安全组策略类型时,请避免在短时间内对范围内的安全组的关联状态进行多次更改。否则可能会导致 Firewall Manager 错过相应的事件。
默认情况下,一旦安全组未使用,Firewall Manager 就会将其视为不符合此策略规则。您可以选择性地指定安全组在视为不合规之前允许的未使用分钟数,最长 52.56 万分钟(365 天)。您可以使用此设置给自己留出时间将新的安全组与资源关联起来。
**重要**
如果您指定了除默认值 0 以外的分钟数,则必须在 AWS Config中启用间接关系。否则,您的使用情况审核安全组策略将无法按预期运行。有关间接关系的信息 AWS Config,请参阅《*AWS Config 开发者指南》 AWS Config*[中的间接关系](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)。
+ 如果您选择**此策略范围中的安全组必须唯一**,则 Firewall Manager 将合并多余的安全组,因此仅有一个安全组与任意资源关联。如果您选择此规则,则 Firewall Manager 将在您保存策略时最先运行它。
1. 对于 **策略操作**,建议使用不自动修复的选项来创建策略。这样,您就可以在应用新策略之前对其进行评测。如果您对所做的更改满意,编辑策略并更改策略操作以启用对不合规资源的自动修复。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 如果您尚未将 Firewall Manager 管理员账户排除在策略范围之外,Firewall Manager 会提示您采取此项操作。这样,您将实现手动控制用于常用和审核安全组策略的 Firewall Manager 管理员账户中的安全组。在此对话框中选择您的选项。
1. 查看策略设置,确保它们满足您的需求,然后选择 **创建策略**。
如果您选择需要唯一的安全组,则 Firewall Manager 在各个范围内的 Amazon VPC 实例中扫描多余的安全组。然后,如果您选择要求每个安全组至少由一个资源使用,Firewall Manager 会扫描在规则中指定分钟内未使用的安全组。您可以在策略控制台中查看 AWS Firewall Manager 策略状态。有关此策略工作方式的更多信息,请参阅[使用 Firewall Manager 使用情况审核安全组策略](security-group-policies-usage.md)。
## 创建 AWS Firewall Manager 网络 ACL 策略
有关网络 ACL 策略工作方式的信息,请参阅 [网络 ACL 策略](network-acl-policies.md)。
要创建网络 ACL 策略,必须知道如何定义与 Amazon VPC 子网配合使用的网络 ACL。有关信息,请参阅 *Amazon VPC 用户指南 ACLs*中的[[使用网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)控制子网流量 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)和使用网络。
**创建网络 ACL 策略(控制台)**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于**策略类型**,请选择**网络 ACL**。
1. 在 “**区域**” 中,选择一个 AWS 区域。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。
1. 对于**策略规则**,请定义要始终在 Firewall Manager 为您管理 ACLs 的网络中运行的规则。网络 ACLs 监控并处理入站和出站流量,因此在您的策略中,您可以定义双向的规则。
对于任一方向,定义想要始终先运行的规则以及想要始终最后运行的规则。在 Firew ACLs all Manager 管理的网络中,账户所有者可以定义在第一条和最后一条规则之间运行的自定义规则。
1. 对于**策略操作**,如果您想识别不合规的子网和网络 ACLs,但尚未采取任何更正措施,请选择 “**识别不符合策略规则但不自动修复的资源**”。您随后可以更改这些选项。
若要自动将策略应用于现有的范围内子网,请选择**自动修复任何不合规的资源**。通过此选项,您还可以指定当策略规则的流量处理行为与网络 ACL 中的自定义规则产生冲突时是否强制修复。无论您是否强制修复,Firewall Manager 都会在其合规性违规中报告存在冲突的规则。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何不同的新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时 OUs,Firewall Manager 会自动将策略应用于新帐户。
1. 对于**资源类型**,设置固定为**子网**。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 查看策略设置,确保它们满足您的需求,然后选择 **创建策略**。
Firewall Manager 会 ACLs 根据您的设置创建策略并开始监视和管理范围内的网络。有关此策略工作方式的更多信息,请参阅[网络 ACL 策略](network-acl-policies.md)。
## 为创建 AWS Firewall Manager 策略 AWS Network Firewall
在 Firewall Manager Network Firewall 策略中,您可以使用您在 AWS Network Firewall中管理的规则组。有关管理规则组的信息,请参阅 *Network Firewall 开发人员指南*中的[AWS Network Firewall 规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。
有关 Firewall Manager Network Firewall 策略的信息,请参阅 [在 Firewall Manager 中使用 AWS Network Firewall 策略](network-firewall-policies.md)。
**为 AWS Network Firewall (控制台)创建 Firewall Manager 策略**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于 **策略类型**,选择 **AWS Network Firewall**。
1. 在**防火墙管理类型**下,选择您希望 Firewall Manager 如何管理策略的防火墙。从以下选项中进行选择:
+ **分布式**:Firewall Manager 在策略范围内的每个 VPC 中创建和维护防火墙端点。
+ **集中式**:Firewall Manager 在单个检查 VPC 中创建和维护端点。
+ **导入现有防火墙**:Firewall Manager 使用资源集从 Network Firewall 导入现有防火墙。有关资源集的信息,请参阅 [在 Firewall Manager 中对资源进行分组](fms-resource-sets.md)。
1. 在 “**区域**” 中,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。Firewall Manager 将策略名称包含在其创建的 Network Firewall 防火墙和防火墙策略的名称中。
1. 在**AWS Network Firewall 策略配置**中,像在 Network Firewall 中一样配置防火墙策略。添加您的无状态和有状态规则组,并指定策略的默认操作。您可以选择设置策略的状态规则评测顺序和默认操作以及日志记录配置。有关 Network Firewall 防火墙策略管理的信息,请参阅*AWS Network Firewall 开发人员指南*中的[AWS Network Firewall 防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)。
在创建 Firewall Manager 网络防火墙策略时,Firewall Manager 会为范围内的账户创建防火墙策略。个人账户管理员可以向防火墙策略添加规则组,但他们无法更改您在此处提供的配置。
1. 选择**下一步**。
1. 根据在上一步中选择的**防火墙管理类型**,执行以下操作之一:
+ 如果您使用的是**分布式**防火墙管理类型,请在**防火墙端点位置**下的 **AWS Firewall Manager 端点配置**中,选择以下选项之一:
+ **自定义端点配置**:Firewall Manager 在您指定的可用区内为策略范围内的每个 VPC 创建防火墙。每个防火墙至少包含一个防火墙端点。
+ 在**可用区**下,选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
+ 如果要为 Firewall Manager 提供 CIDR 块以用于您的中的防火墙子网VPCs,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从中可用的 IP 地址中为您选择 IP 地址。 VPCs
**注意**
Network Fire AWS Firewall Manager wall 策略会自动进行自动修复,因此您不会在此处看到选择不自动修复的选项。
+ **自动配置端点**:Firewall Manager 会自动在可用区中创建防火墙端点,并在您的 VPC 中使用公有子网。
+ 对于**防火墙端点**配置,请指定 Firewall Manager 如何管理防火墙端点。为了获得高可用性,我们建议使用多个端点。
+ 如果您使用的是**集中式**防火墙管理类型,请在**检查 VPC 配置**下的 **AWS Firewall Manager 端点配置**中,输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。
+ 在**可用区**下,选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
+ 如果要为 Firewall Manager 提供 CIDR 块以用于您的中的防火墙子网VPCs,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从中可用的 IP 地址中为您选择 IP 地址。 VPCs
**注意**
Network Fire AWS Firewall Manager wall 策略会自动进行自动修复,因此您不会在此处看到选择不自动修复的选项。
+ 如果您使用的是**导入现有防火墙**防火墙管理类型,请在**资源集**中添加一个或多个资源集。资源集定义了您要在本策略中集中管理的组织账户所拥有的现有 Network Firewall 防火墙。要将资源集添加到策略中,必须先使用控制台或 [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API 创建资源集。有关资源集的信息,请参阅 [在 Firewall Manager 中对资源进行分组](fms-resource-sets.md)。有关从 Network Firewall 导入现有防火墙的更多信息,请参阅[Firewall Manager 如何创建防火墙端点](fms-create-firewall-endpoints.md)。
1. 选择**下一步**。
1. 如果您的策略使用分布式防火墙管理类型,请在**路由管理**下选择 Firewall Manager 是否监控必须通过相应防火墙端点路由的流量并发出警报。
**注意**
如果您选择**监控**,则以后无法将该设置更改为**关闭**。监控将持续运行,直到您删除该策略。
1. 对于**流量类型**,可以选择性地添加为了进行防火墙检查而需要路由流量的流量端点。
1. 对于**允许所需的跨可用区流量**,如果您启用此选项,则对于没有自己防火墙端点的可用区,Firewall Manager 会将从可用区发送流量到外部进行检查的路由视为合 规路由。具有端点的可用区必须始终检查自己的流量。
1. 选择**下一步**。
1. 对于**策略作用域**,在 **AWS 账户 本策略适用于**下,选择以下选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时OUs,Firewall Manager 会自动将策略应用于新帐户。
1. Network Firewall 策略的**资源类型**是 **VPC**。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
若您满意所创建的策略,请选择**创建策略**。**AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)
## 为 Amazon Route 53 解析器 DNS 防火墙创建 AWS Firewall Manager 策略
在 Firewall Manager DNS Firewall 策略中,您可以使用在 Amazon Route 53 Resolver DNS 防火墙中管理的规则组。有关管理规则组的信息,请参阅 *Amazon Route 53 开发人员指南*中的[在 DNS 防火墙中管理规则组和规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html)。
有关 Firewall Manager DNS 防火墙策略的信息,请参阅 [在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略](dns-firewall-policies.md)。
**为 Amazon Route 53 Resolver DNS 防火墙(控制台)创建 Firewall Manager 策略**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于**策略类型**,请选择 **Amazon Route 53 Resolver DNS 防火墙**。
1. 在 “**区域**” 中,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。
1. 在策略配置中,将您希望 DNS Firewall 首先评估的规则组添加到您 VPCs的 “规则组关联” 中。您最多可以向策略添加两个规则组。
创建 Firewall Manager DNS 防火墙策略时,Firewall Manager 会使用您提供的关联优先级为范围内的VPCs 和帐户创建规则组关联。个人账户经理可以在您的第一个和最后一个关联之间添加规则组关联,但他们无法更改您在此处定义的关联。有关更多信息,请参阅 [在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略](dns-firewall-policies.md)。
1. 选择**下一步**。
1. 对于**适用此策略的AWS 账户 **,请按以下方式选择选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时OUs,Firewall Manager 会自动将策略应用于新帐户。
1. DNS 防火墙策略的**资源类型**是 **VPC**。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
若您满意所创建的策略,请选择**创建策略**。**AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)
## 为 Palo Alto Networks Cloud AWS Firewall Manager 制定政策 NGFW
借助帕洛阿尔托网络云下一代防火墙(Palo Alto Networks Cloud NGFW)的防火墙管理器策略,您可以使用防火墙管理器部署帕洛阿尔托网络云下一代防火墙资源,并在所有账户中集中管理 NGFW 规则堆栈。 AWS
有关 Firewall Manager Palo Alto Networks Cloud NGFW 策略的信息,请参阅 [使用 Palo Alto Networks Cloud NGFW for Firewall Manager](cloud-ngfw-policies.md)。有关如何配置和管理适用于 Firewall Manager 的 Palo Alto Networks Cloud NGFW 的信息,请参阅 AWS文档中的 *[Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*。
### 先决条件
为 AWS Firewall Manager准备您的账户有几个必要步骤。[AWS Firewall Manager 先决条件](fms-prereq.md) 中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。
**要为 Palo Alto Networks Cloud NGFW(控制台)创建 Firewall Manager 策略**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于**策略类型**,请选择 **Palo Alto Networks Cloud NGFW**。如果你还没有在 Marketplace 上订阅 Palo Alto N AWS etworks Cloud NGFW 服务,则需要先订阅。要在 AWS Marketplace 上订阅,请选择 “**查看 AWS 商城详情**”。
1. 对于**部署模型**,选择**分布式模型**或**集中式模型**。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。
1. 在 “**区域**” 中,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。
1. 在策略配置中,选择要与此策略关联的 Palo Alto Networks Cloud NGFW 防火墙策略。Palo Alto Networks Cloud NGFW 防火墙策略列表包含与您的 Palo Alto Networks Cloud NGFW 租户关联的所有 Palo Alto Networks Cloud NGFW 防火墙策略。有关创建和管理 Palo Alto Networks Cloud NGFW 防火墙策略的信息,请参阅 Deplo *[y Palo Alto Networks Cloud NGFW 的 NGFW 部署](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)**指南*中的 AWS Firewall Manager主题。 AWS AWS
1. 对于 **Palo Alto Networks Cloud NGFW 日志记录(可选)**,可以选择为您的策略记录哪种 Palo Alto Networks Cloud NGFW 日志类型。有关 Palo Alto Networks Cloud NGFW 日志类型的信息,请参阅《[帕洛阿尔托网络云 NGFW 部署指南》 AWS中的 “为帕*洛*阿尔托网络云 NGFW 配置日志记录](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html)”。 AWS
对于**日志记录目标**,指定 Firewall Manager 何时应写入日志。
1. 选择**下一步**。
1. 在**配置第三方防火墙端点**下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:
+ 如果您为此策略使用分布式部署模型,请在**可用区**下选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
+ 如果您使用此策略的集中式部署模型,请在**检查 VPC 配置**下的 **AWS Firewall Manager 端点配置**中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。
+ 在**可用区**下,选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
1. 如果要为 Firewall Manager 提供 CIDR 块以用于您的中的防火墙子网VPCs,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从中可用的 IP 地址中为您选择 IP 地址。 VPCs
**注意**
Network Fire AWS Firewall Manager wall 策略会自动进行自动修复,因此您不会在此处看到选择不自动修复的选项。
1. 选择**下一步**。
1. 对于**策略作用域**,在 **AWS 账户 本策略适用于**下,选择以下选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时OUs,Firewall Manager 会自动将策略应用于新帐户。
1. Network Firewall 策略的**资源类型**是 **VPC**。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 对于**授予跨账户存取权限**,请选择**下载 CloudFormation 模板**。这将下载一个可用于创建 CloudFormation 堆栈的 CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理帕洛阿尔托网络云 NGFW 资源的权限。有关堆栈的信息,请参阅 *CloudFormation 用户指南*中的[使用堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
若您满意所创建的策略,请选择**创建策略**。**AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)
## 为 Fortigate 云原生防火墙 (CNF) 即服务创建 AWS Firewall Manager 策略
借助 Fortigate CNF 的 Firewall Manager 策略,你可以使用 Firewall Manager 在所有账户中部署和管理 Fortigate CNF 资源。 AWS
有关 Firewall Manager Fortigate CNF 策略的信息,请参阅 [将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略](fortigate-cnf-policies.md)。有关如何配置 Fortigate CNF 以支持与 Firewall Manager 配合使用的信息,请参阅 [Fortinet 文档]( https://docs.fortinet.com/product/fortigate-cnf )。
### 先决条件
为 AWS Firewall Manager准备您的账户有几个必要步骤。[AWS Firewall Manager 先决条件](fms-prereq.md) 中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。
**创建适用于 Fortigate CNF 的 Firewall Manager 策略(控制台)**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择 **安全策略**。
1. 选择**创建策略**。
1. 对于**策略类型**,选择 **Fortigate 云原生防火墙 (CNF) 即服务**。如果你还没有在 M [arketpl AWS ace 上订阅 Fortigate CNF 服务](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i),则需要先订阅。要在 AWS Marketplace 上订阅,请选择 “**查看 AWS 商城详情**”。
1. 对于**部署模型**,选择**分布式模型**或**集中式模型**。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。
1. 在 “**区域**” 中,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。
1. 在策略配置中,选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与您的 Fortigate CNF 租户关联的所有 Fortigate CNF 防火墙策略。有关创建和管理 Fortigate CNF 租户的信息,请参阅 [Fortinet 文档](https://docs.fortinet.com/product/fortigate-cnf)。
1. 选择**下一步**。
1. 在**配置第三方防火墙端点**下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:
+ 如果您为此策略使用分布式部署模型,请在**可用区**下选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
+ 如果您使用此策略的集中式部署模型,请在**检查 VPC 配置**下的 **AWS Firewall Manager 端点配置**中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。
+ 在**可用区**下,选择要在其中创建防火墙端点的可用区。您可以按**可用区名称**或**可用区 ID** 选择可用区。
1. 如果要为 Firewall Manager 提供 CIDR 块以用于您的中的防火墙子网VPCs,则它们必须全部为 /28 CIDR 块。每行输入一个块。如果省略这些地址,Firewall Manager 将从中可用的 IP 地址中为您选择 IP 地址。 VPCs
**注意**
Network Fire AWS Firewall Manager wall 策略会自动进行自动修复,因此您不会在此处看到选择不自动修复的选项。
1. 选择**下一步**。
1. 对于**策略作用域**,在 **AWS 账户 本策略适用于**下,选择以下选项:
+ 如果要将该政策应用于组织中的所有账户,请保留默认选项 “**包括我的 AWS 组织下的所有账户”**。
+ 如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “**仅包括指定的帐户和组织单位**”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
+ 如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择**排除指定的账户和组织单位,并包括所有其他**账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时OUs,Firewall Manager 会自动将策略应用于新帐户。
1. Network Firewall 策略的**资源类型**是 **VPC**。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 对于**授予跨账户存取权限**,请选择**下载 CloudFormation 模板**。这将下载一个可用于创建 CloudFormation 堆栈的 CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理 Fortigate CNF 资源的权限。有关堆栈的信息,请参阅 *CloudFormation 用户指南*中的[使用堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)。要创建堆栈,您需要来自 Fortigate CNF 门户网站的账户 ID。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
若您满意所创建的策略,请选择**创建策略**。**AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)
# 删除 AWS Firewall Manager 策略
您可以通过执行以下步骤来删除 Firewall Manager 策略。
**删除策略(控制台)**
1. 在导航窗格中,选择**安全策略**。
1. 选择要删除的策略旁的选项。
1. 选择**删除**。
**注意**
删除 Firewall Manager 通用安全组策略时,要删除该策略的副本安全组,请选择清理该策略创建的资源的选项。否则,在删除主实例后,副本将保留,需要在每个 Amazon VPC 实例中进行手动管理。
**重要**
删除 Firewall Manager Shield Advanced 策略时,该策略将被删除,但您的账户仍有 Shield Advanced 的订阅。
# 使用 AWS Firewall Manager 策略范围
本页介绍了什么是 Firewall Manager 策略范围及其工作方式。
策略范围定义了策略的适用范围。您可以将集中式控制策略应用于:
+ AWS Organizations中的组织内所有账户和资源。
+ AWS Organizations中的组织内的账户和资源子集。
有关如何设置策略作用域的说明,请参阅 [创建 AWS Firewall Manager 策略](create-policy.md)。
## 中的策略范围选项 AWS Firewall Manager
当您向组织添加新账户或资源时,Firewall Manager 会根据您的每项策略设置自动对其进行评测,并根据这些设置应用策略。例如,您可以选择将策略应用于除指定列表中账号以外的所有账户。资源标签也可以用于定义策略范围。您可以选择通过排除或包含具有列表中所有标签的资源来应用策略。或者,您可以选择仅将策略应用于列表中具有任何指定标签的资源。
**AWS 账户 在范围内**
您为定义受策略 AWS 账户 影响的账户而提供的设置决定了要将策略应用到 AWS 组织中的哪些账户。您可以选择通过以下一种方式来应用策略:
+ 至组织中的所有账户
+ 仅限于包含的账号和 AWS Organizations 组织单位的特定列表 (OUs)
+ 除特定除外账号和 AWS Organizations 组织单位清单以外的所有人 (OUs)
有关的信息 AWS Organizations,请参阅[《AWS Organizations 用户指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。
**范围内资源**
与范围内账户的设置类似,您为资源提供的设置决定了要将策略应用于哪些范围内资源类型。您可以选择以下任一种密钥:
+ 所有资源
+ 具有您指定的所有标签的资源
+ 所有资源,除了具有您指定的所有标签的资源
+ 仅限具有您指定的任何标签的资源
+ 所有资源,除了具有您指定的任何标签的资源
只能指定值非空的资源标签。如果未为此值赋值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
有关标记资源的更多信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
## 中的策略范围管理 AWS Firewall Manager
制定策略后,Firewall Manager 会持续对其进行管理, AWS 账户 并在添加新资源和资源时根据策略范围将其应用于新增资源和资源。
**Firewall Manager 如何 AWS 账户 管理和资源**
如果账户或资源出于任何原因超出范围,则 AWS Firewall Manager 不会自动移除保护或删除 Firewall Manager 管理的资源,除非您选中 “**自动移除对离开策略范围的资源的保护**” 复选框。
**注意**
“**自动移除对离开策略范围的资源的保护”** 选项不适用于 AWS Shield Advanced 或 AWS WAF Classic 策略。
选中此复选框 AWS Firewall Manager 将指示在帐户离开策略范围时自动清理 Firewall Manager 为这些帐户管理的资源。例如,当客户资源超出策略范围时,Firewall Manager 将取消 Firewall Manager 托管的 web ACL 与受保护的客户资源的关联。
为了确定当客户资源超出策略范围时应将哪些资源从保护中移除,Firewall Manager 需要遵循以下准则:
+ *默认行为*:
+ 关联的 AWS Config 托管规则已删除。此行为与复选框无关。
+ 任何不包含任何资源的关联 AWS WAF Web 访问控制列表 (Web ACLs) 都将被删除。此行为与复选框无关。
+ 任何超出范围的受保护资源都将保持关联状态并受到保护。例如,与 web ACL 关联的应用程序负载均衡器或 API Gateway 中的 API 仍与网页 ACL 关联,并且保护仍然有效。
+ *选中**自动移除对不在策略范围之外的资源的保护**复选框后*:
+ 关联的 AWS Config 托管规则已删除。此行为与复选框无关。
+ 任何不包含任何资源的关联 AWS WAF Web 访问控制列表 (Web ACLs) 都将被删除。此行为与复选框无关。
+ 任何超出范围的受保护资源在超出策略范围时都会自动取消关联并从 Firewall Manager 保护中移除。例如,对于安全组策略,Elastic Inference 加速器或 Amazon EC2 实例在离开策略范围时会自动取消与复制的安全组的关联。复制的安全组及其资源将自动从保护中移除。
+ 当成员帐户离开作用域或删除策略时,无论资源清理选项的值如何,Firewall Manager 都会删除日志配置。
# 在 Firewall Manager 中使用 AWS WAF 策略
本节介绍如何在 Firewall Manager 中使用 AWS WAF 策略。在 Firewall Manager AWS WAF 策略中,您可以指定要用于保护策略范围内所有资源的 AWS WAF 规则组。应用策略后,Firewall Manager 会开始使用指定的规则组和其他策略配置管理范围内的资源的 Web ACLs 。
您可以将策略配置 ACLs 为为范围内资源创建和管理所有新的 Web,替换任何已在 ACLs 使用的网络。或者,您可以将策略配置为保留任何已与范围内资源关联的网站 ACLs ,并对其进行改造以供策略使用。使用第二个选项,Firewall Manager 仅 ACLs 为尚未具有 Web ACL 关联的资源创建新网页。
无论它们是如何创建的,在 Firewall Manager 管理的 Web ACLs 中,除了您在防火墙管理器策略中定义的规则组外,个人帐户还可以管理自己的规则和规则组。
有关创建 Firewall Manager AWS WAF 策略的过程,请参阅[为创建 AWS Firewall Manager 策略 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。
# AWS WAF 策略的规则组管理
由 F ACLs irewall Manager AWS WAF 策略管理的网络包含三组规则。这些规则集为 Web ACL 中的规则和规则组提供了更高级的优先级划分机制:
+ 第一个规则组,由您在 Firewall Manager AWS WAF 策略中定义。 AWS WAF 首先评估这些规则组。
+ 由网络上的客户经理定义的规则和规则组 ACLs。 AWS WAF 接下来评估所有账户管理的规则或规则组。
+ 最后一个规则组,由您在 Firewall Manager AWS WAF 策略中定义。 AWS WAF 最后评估这些规则组。
在每组规则中,根据规则和规则组在规则集中的优先级设置,照常 AWS WAF 评估规则和规则组。
在策略的“最先运行的规则组”集和“最后运行的规则组”集中,您只能添加规则组,不能添加单个规则。您可以使用托管规则组,由 AWS 托管规则和 AWS Marketplace 卖家为您创建和维护。您也可以管理和使用自己的规则组。有关所有这些操作的更多信息,请参阅[AWS WAF 规则组](waf-rule-groups.md)。
如果要使用自己的规则组,请在创建 Firewall Manager AWS WAF 策略之前创建这些规则组。有关指南,请参阅[管理您自己的规则组](waf-user-created-rule-groups.md)。要使用单个自定义规则,您必须定义自己的规则组,再在其中定义您的规则,然后在策略中使用该规则组。
您通过 Firewall Manager 管理的第一个和最后一个 AWS WAF 规则组的名称分别以`PREFMManaged-`或`POSTFMManaged-`开头,后跟防火墙管理器策略名称和规则组创建时间戳(以 UTC 毫秒为单位)。例如 `PREFMManaged-MyWAFPolicyName-1621880555123`。
有关如何 AWS WAF 评估 Web 请求的信息,请参阅[使用包含规则和规则组的保护包 (Web ACLs) AWS WAF](web-acl-processing.md)。
Firewall Manager 为您为 AWS WAF 策略定义的规则组启用采样和 Amazon CloudWatch 指标。
个人账户所有者可以完全控制他们添加到策略托管网站的任何规则或规则组的指标和采样配置ACLs。
**注意**
如果您的成员账户中没有订阅 AWS WAF 市场规则组,Firewall Manager 将无法将自定义或托管规则组传播到该账户。
# 策略的 Web ACL AWS WAF 管理
Firewall Manager 根据您的配置设置和一般策略管理 ACLs 为范围内的资源创建和管理 Web。
**注意**
如果通过另一个 Firewall Manager Shield 策略配置了[高级自动应用层 DDo S 缓解](ddos-automatic-app-layer-response.md)的资源进入 AWS WAF 策略的范围,其中该资源上的 Web ACL 是由该防火墙管理器盾牌策略创建的,则防火墙管理器将无法对该资源应用 AWS WAF 策略保护,并将该资源标记为不合规。
如果客户手动将客户拥有的 Web ACL 与资源关联,Firewall Manager AWS WAF 策略仍将使用防火墙管理器 AWS WAF 策略 Web ACL 覆盖该客户 Web ACL。
**管理未关联的 Web 配置 ACLs**
策略配置设置,用于指定当任何资源都 ACLs 不会使用网络时 ACLs Firewall Manager 如何管理帐户的网页。如果启用对未关联网站的管理 ACLs,Firewall Manager 只有 ACLs 在网络将由至少一个资源使用时,才 ACLs 会在策略范围内的帐户中创建网页。如果未启用此选项,不管是否要使用 web ACL,Firewall Manager 都会自动确保每个账户都有一个 web ACL。
当启用时,只有至少有一个资源将使用 web ACL 时,Firewall Manager 才会自动在该账户中创建一个 web ACL。
此外,当您启用对未关联网站的管理时 ACLs,在创建策略时,Firewall Manager 会对您账户 ACLs 中未关联的网页进行一次性清理。在此清理过程中,Firewall Manager 会跳过您在创建后修改过的所有网页 ACLs ,例如,如果您向 Web ACL 添加了规则组或修改了其设置。清理过程可能需要数小时的时间。如果资源在 Firewall Manager 创建 web ACL 后离开策略范围,Firewall Manager 将取消该资源与 web ACL 的关联,但不会清理未关联的 web ACL。Firewall Manager 只有在策略 ACLs 中首次启用对未关联网页的管理 ACLs 时才会清理未关联的网页。
在 API `optimizeUnassociatedWebACL` 中,此设置为[SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)数据类型。示例:`\"optimizeUnassociatedWebACL\":false`
**Web ACL 源配置:创建所有新的 Web ACL,还是改造现有 Web ACL?**
策略配置设置,指定 Firewall Manager 如何处理与范围内资源关联的现有 Web ACLs 。
默认情况下,Firewall Manager 会 ACLs 为范围内的资源创建所有新网站。通过改造,Firewall Manager 会使用任何已在使用的现有网站 ACLs ,并且仅 ACLs 为尚未关联的资源创建新网站。
将策略配置为改装时,所有与范围内资源关联 ACLs 的网络都将被改装或标记为不合规。
只有在 web ACL 满足以下要求时,Firewall Manager 才会对其进行改造:
+ web ACL 归使用者账户所有。
+ web ACL 仅与范围内资源关联。
**提示**
在配置改造 AWS WAF 策略之前,请确保与该策略的范围内资源关联的 Web ACLs 未与任何 out-of-scope资源相关联。
**提示**
如果要删除关联资源,首先取消资源与 web ACL 的关联。如果 Web ACL 由于与 out-of-scope资源关联而导致不合规,则在不事先将其与 Web ACL 解除关联的情况下删除该 out-of-scope资源可以使该 Web ACL 达到合规状态,然后 Firewall Manager 可以通过修复来改造 Web ACL,但在这种情况下,修复最多可能会延迟 24 小时。
有关访问合规性违规详细信息的信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)。
如果可以改造 web ACL,Firewall Manager 会按如下方式对其进行修改:
+ Firewall Manager 在 Web ACL 的现有规则前面插入 AWS WAF 策略的第一个规则组,并在最后添加 AWS WAF 策略的最后一个规则组。有关规则组管理的信息,请参阅 [AWS WAF 策略的规则组管理](waf-policies-rule-groups.md)。
+ 如果该策略具有日志记录配置,则仅当 web ACL 尚未进行日志记录配置时,Firewall Manager 才会将其添加到 web ACL 中。如果 web ACL 具有由账户配置的日志记录,Firewall Manager 会在改造期间以及后续更新策略的日志配置时将其保留在原处。
+ Firewall Manager 不验证也不配置其他任何 web ACL 属性。例如,Firewall Manager 不会修改 web ACL 的默认操作、自定义请求标头、CAPTCHA 或 Challenge 配置或令牌域列表。Firewall Manager 仅在 Web ACLs 上配置防火墙管理器创建的其他属性。
在 Firewall Manager 改造所有现有关联的 Web 之后 ACLs,对于任何没有 Web ACL 的范围内资源,Firewall Manager 将按照默认策略行为处理资源。如果是 AWS WAF 可以保护的资源,则 Firewall Manager 会创建防火墙管理器 Web ACL 并将其与该资源关联。
在 API 中,Web ACL 源设置为`webACLSource`[SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)数据类型。示例:`\"webACLSource\":\"RETROFIT_EXISTING\"`
**采样和 CloudWatch 指标**
AWS Firewall Manager 为其为 AWS WAF 策略创建的 Web ACLs 和规则组启用采样和 Amazon CloudWatch 指标。
**Web ACL 命名**
Firewall Manager 创建的 Web ACL 以该 AWS WAF 策略命名,如下所示:`FMManagedWebACLV2-policy name-timestamp`。时间戳以毫秒为单位。例如 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。
Firewall Manager 改造的 web ACL 的名称即为使用者账户在创建时指定的名称。web ACL 名称在创建后无法更改。
**注意**
如果配置了[高级自动应用层 DDo S 缓解](ddos-automatic-app-layer-response.md)的资源属于 AWS WAF 策略的范围,则 Firewall Manager 将无法将该 AWS WAF 策略创建的 Web ACL 与该资源相关联。
# 登录以获取 AWS WAF 策略
您可以为 AWS WAF 策略启用集中日志记录,以获取有关组织内的 Web ACL 分析的流量的详细信息。 AWS Firewall Manager 支持此选项 AWS WAFV2,不适用于 AWS WAF 经典版。
日志中的信息包括从您的受保护 AWS 资源 AWS WAF 收到请求的时间、有关该请求的详细信息以及与所有范围内账户的每个请求匹配的规则的操作。有关 AWS WAF 日志记录的信息,请参阅*AWS WAF 开发人员指南[记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)*中的。
您可以将日志发送到 Amazon Data Firehose 数据流或Amazon Simple Storage Service (S3) 存储桶。为了让 Firewall Manager 能够管理范围内资源和帐户的 AWS WAF 日志记录,每种目标类型都需要一些额外的配置。以下各节提供详细信息。
如果策略启用了 Web ACL 改装,则 Firewall Manager 不会覆盖现有网络 ACLs中的任何日志配置。有关改造的信息,请前往 [策略的 Web ACL AWS WAF 管理](how-fms-manages-web-acls.md) 参阅 Web ACL 源配置信息。
**注意**
只能通过 Firewall Manager 接口修改或禁用 Firewall Manager 策略的日志记录。如果您使用 AWS WAF 更新或删除由 Firewall Manager 管理的 Web ACL 的日志配置,Firewall Manager 将不会自动检测到更改。如果您使用过 AWS WAF,则可以通过在中重新评估 Firewall Manager AWS WAF 策略的规则来手动提示更新该策略。 AWS Config为此,请在 AWS Config 控制台中找到 Firewall Manager 策略的 AWS Config 规则,然后选择重新评估操作。
**Topics**
+ [日志记录目标](waf-policies-logging-destinations.md)
+ [在 Firewall Manager 中为 AWS WAF 策略启用日志记录](waf-policies-enabling-logging.md)
+ [在 Firewall Manager 中禁用 AWS WAF 策略的日志记录](waf-policies-disabling-logging.md)
# 日志记录目标
本节介绍您可以选择发送 AWS WAF 策略日志的日志目的地。每个部分都提供了有关配置目标类型日志记录的指导,以及有关特定于目标类型的任何行为的信息。配置日志目标后,您可以向 Firewall Manager AWS WAF 策略提供其规格以开始登录该目标。
创建日志记录配置后,Firewall Manager 无法查看日志故障。您应负责验证日志传输是否按预期运行。
Firewall Manager 不会修改您组织的成员账户中的任何现有日志记录配置。
**Topics**
+ [Amazon Data Firehose 数据流](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Amazon Simple Storage Service 存储桶](#waf-policies-logging-destinations-s3)
## Amazon Data Firehose 数据流
本主题提供有关将您的 Web ACL 流量日志发送到 Amazon Data Firehose 数据流的信息。
当您启用 Amazon Data Firehose 日志记录时,Firewall Manager 会将日志从您的策略网站发送 ACLs 到您已配置存储目标的亚马逊数据 Firehose。启用日志记录后,通过 Kinesis Data Firehose 的 HTTPS 端点将每个已配置的 Web ACL 的日志 AWS WAF 传送到配置的存储目标。在使用之前,请测试您的传输流,确保其吞吐量足以容纳组织的日志。有关如何使用 Amazon Kinesis Data Firehose 以及如何查看存储的日志的更多信息,请参阅[什么是 Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)。
您必须拥有以下权限才能使用 Kinesis 成功启用日志记录:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
当您在 AWS WAF 策略上配置 Amazon Data Firehose 日志记录目标时,防火墙管理器会在防火墙管理器管理员账户中为该策略创建一个 Web ACL,如下所示:
+ Firewall Manager 会在 Firewall Manager 管理员账户中创建 Web ACL,无论该账户是否在策略的范围内。
+ Web ACL 启用了日志记录,日志名称为 `FMManagedWebACLV2-Loggingpolicy name-timestamp`,时间戳为 Web ACL 启用日志的 UTC 时间(以毫秒为单位)。例如 `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`。Web ACL 没有规则组,也没有关联的资源。
+ 根据 AWS WAF 定价指南,您需要为 Web ACL 付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
+ 当您删除策略时,Firewall Manager 会删除 Web ACL。
有关服务相关角色以及 `iam:CreateServiceLinkedRole` 权限的信息,请参阅 [将服务相关角色用于 AWS WAF](using-service-linked-roles.md)。
有关创建传输流的更多信息,请参阅[创建 Amazon Data Firehose 传输流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。
## Amazon Simple Storage Service 存储桶
本主题提供有关将 Web ACL 流量日志发送到 Amazon S3 存储桶的信息。
选择作为日志记录目标的存储桶必须由 Firewall Manager 管理员账户所有。有关创建用于日志记录的 Amazon S3 存储桶的要求和存储桶命名要求的信息,请参阅*AWS WAF 开发人员指南*中的 [Amazon 简单存储服务](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)。
**最终一致性**
当您对配置有 Amazon S3 日志目标的 AWS WAF 策略进行更改时,Firewall Manager 会更新存储桶策略以添加记录所需的权限。在这样做时,Firewall Manager 会遵循亚马逊简单存储服务所遵循的 last-writer-wins语义和数据一致性模型。如果您在 Firewall Manager 控制台中或通过 [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API 同时对 Amazon S3 目标进行多个策略更新,则可能无法保存某些权限。有关 Amazon S3 数据一致性模型的更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的 [Amazon S3 数据一致性模型](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel)。
### 向 Amazon S3 存储桶发布日志的权限
在 AWS WAF 策略中为 Amazon S3 存储桶配置 Web ACL 流量日志需要以下权限设置。当您将 Amazon S3 配置为日志记录目标以授予服务向存储桶发布日志的权限时,Firewall Manager 会自动将这些权限附加到您的 Amazon S3 存储桶。如果您希望更精细地管理对日志和 Firewall Manager 资源的访问权限,您可以自己设置这些权限。有关管理权限的信息,请参阅*IAM 用户指南*中的 [AWS 资源的访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。有关 AWS WAF 托管策略的信息,请参阅[AWS 的托管策略 AWS WAF](security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryForFirewallManager",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheckFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
},
{
"Sid": "AWSLogDeliveryWriteFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
为防止跨服务混淆代理问题,您可以将 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文密钥添加到存储桶的策略中。要添加这些密钥,您可以修改 Firewall Manager 在配置日志记录目标时为您创建的策略,或者如果您想要精细控制,则可以创建自己的策略。如果您将这些条件添加到日志记录目标策略中,Firewall Manager 将无法验证或监控混淆代理保护。有关混淆代理问题的更多信息,请参阅 *IAM 用户指南*中的[混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
当您添加 `sourceAccount` 添加 `sourceArn` 属性时,将增加存储桶策略的大小。如果要添加一长串 `sourceAccount` 添加 `sourceArn` 属性,请注意不要超过 Amazon S3 [存储桶策略大小](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3)限额。
以下示例说明了如何通过在存储桶策略中使用 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键来防止混淆代理问题。*member-account-id*替换为 IDs 组织中成员的帐户。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"AWSLogDeliveryForFirewallManager",
"Statement":[
{
"Sid":"AWSLogDeliveryAclCheckFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
},
{
"Sid":"AWSLogDeliveryWriteFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition":{
"StringEquals":{
"s3:x-amz-acl":"bucket-owner-full-control",
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
}
]
}
```
------
#### Amazon S3 存储桶服务器端加密
您可以启用 Amazon S3 服务器端加密,也可以在 S3 存储桶上使用 AWS Key Management Service 客户托管密钥。如果您选择在 Amazon S3 存储桶上对 AWS WAF 日志使用默认 Amazon S3 加密,则无需采取任何特殊操作。但是,如果您选择使用客户提供的加密密钥对静态的 Amazon S3 数据进行加密,则必须在 AWS Key Management Service 密钥策略中添加以下权限声明:
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
有关在 Amazon S3 中使用客户提供的加密密钥的信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用客户提供的密钥进行服务器端加密 (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)。
# 在 Firewall Manager 中为 AWS WAF 策略启用日志记录
以下过程介绍如何在 Firewall Manager 控制台中为 AWS WAF 策略启用日志记录。
**为 AWS WAF 策略启用日志记录**
1. 在启用日志记录之前,必须按以下方式配置日志记录目标资源:
+ **Amazon Kinesis Data Streams**:使用 Firewall Manager 管理员账户创建 Amazon Data Firehose。使用以前缀 `aws-waf-logs-` 开头的名称。例如 `aws-waf-logs-firewall-manager-central`。使用 `PUT` 源,在您执行操作的区域中创建 Data Firehose。如果您要为 Amazon 捕获日志 CloudFront,请在美国东部(弗吉尼亚北部)创建消防水带。在使用之前,请测试您的传输流,确保其吞吐量足以容纳组织的日志。有关更多信息,请参阅[创建 Amazon Data Firehose 传输流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。
+ **Amazon 简单存储服务存储桶**:根据*AWS WAF 开发人员指南*中[Amazon 简单存储服务](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)主题中的指南创建 Amazon S3 存储桶。您还必须使用 [向 Amazon S3 存储桶发布日志的权限](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions) 中列出的权限配置 Amazon S3 存储桶。
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择**安全策略**。
1. 选择要为其启用日志记录的 AWS WAF 策略。有关 AWS WAF 日志记录的更多信息,请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。
1. 在**策略详细信息**选项卡的**策略规则**部分,选择**编辑**。
1. 对于**日志记录配置**,选择**启用日志记录**以打开日志记录。日志记录提供了有关 web ACL 对流量进行分析的详细信息。选择**日志记录目标**,然后选择您配置的日志记录目标。必须选择名称以 `aws-waf-logs-` 开头的日志记录目标。有关配置 AWS WAF 日志目标的信息,请参阅[在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。
1. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择**添加**。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 `REDACTED`。例如,如果您编辑 **URI** 字段,则日志中的 **URI** 字段将为 `REDACTED`。
1. (可选)如果您不想向日志发送所有请求,请添加您的筛选条件和行为。在**筛选日志**下,对于要应用的每个筛选器,选择**添加筛选条件**,然后选择您的筛选条件并指定是要保留还是删除符合条件的请求。添加完筛选条件后,如果需要,可以修改**默认日志记录行为**。有关更多信息,请参阅《AWS WAF 开发人员指南》**中的 [查找保护包(web ACL)记录](logging-management.md)。
1. 选择**下一步**。
1. 查看您的设置,然后选择**保存**以保存对策略的更改。
# 在 Firewall Manager 中禁用 AWS WAF 策略的日志记录
以下过程介绍如何在 Firewall Manager 控制台中禁用 AWS WAF 策略的日志记录。
**禁用 AWS WAF 策略的日志记录**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择**安全策略**。
1. 选择要禁用日志记录的 AWS WAF 策略。
1. 在**策略详细信息**选项卡的**策略规则**部分,选择**编辑**。
1. 对于**日志配置状态**,请选择**禁用**。
1. 选择**下一步**。
1. 查看您的设置,然后选择**保存**以保存对策略的更改。
**注意**
只能通过 Firewall Manager 接口修改或禁用 Firewall Manager 策略的日志记录。如果您使用 AWS WAF 更新或删除由 Firewall Manager 管理的 Web ACL 的日志配置,Firewall Manager 将不会自动检测到更改。如果您使用过 AWS WAF,则可以通过在中重新评估 Firewall Manager AWS WAF 策略的规则来手动提示更新该策略。 AWS Config为此,请在 AWS Config 控制台中找到 Firewall Manager 策略的 AWS Config 规则,然后选择重新评估操作。
# 在 Firewall Manager 中使用 AWS Shield Advanced 策略
本页介绍如何在 Firewall Manager 中使用 AWS Shield 策略。在 Firew AWS Shield all Manager 策略中,您可以选择要保护的资源。当您在启用自动修复的情况下应用策略时,对于每个尚未与 AWS WAF Web ACL 关联的范围内资源,Firewall Manager 都会关联一个空的 AWS WAF Web ACL。这个空的 Web ACL 将用于 Shield 监控目的。如果您随后将任何其他 Web ACL 关联到该资源,Firewall Manager 将删除这个空 Web ACL 关联。
**注意**
当 AWS WAF 策略范围内的资源进入配置了[自动应用层 DDo S 缓解](ddos-automatic-app-layer-response.md)的 Shield Advanced 策略的范围时,Firewall Manager 只有在关联该 AWS WAF 策略创建的 Web ACL 后才会应用 Shield 高级保护。
## 如何在 Shield 策略 ACLs 中 AWS Firewall Manager 管理未关联的网站
您可以通过策略中的 “管理未关联的网页 ACLs ” 设置或 API 中[SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)数据类型的 ACLs设置来配置 Fire **wall Manager 是`optimizeUnassociatedWebACLs`为您管理未关联**的网页。如果您在策略 ACLs 中启用了对未关联网站的管理,则只有当网络将由至少一个资源使用时,Firewall Manager 才 ACLs 会在策略范围内的帐户 ACLs 中创建网页。当某个账户在任何时候进入策略范围时,如果至少有一个资源将使用 web ACL,则 Firewall Manager 会自动在该账户中创建一个 web ACL。
启用对未关联网站的管理后 ACLs,Firewall Manager 会对您账户 ACLs 中未关联的网页执行一次性清理。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围,Firewall Manager 不会取消该资源与 Web ACL 的关联。如果希望 Firewall Manager 清理 Web ACL,则必须先手动取消资源与 Web ACL 的关联,然后在策略中启用 “管理未关联的 Web ACLs ” 选项。
如果您不启用此选项,Firewall Manager 将不管理未关联的 Web ACLs,并且防火墙管理器会自动在策略范围内的每个账户中创建一个 Web ACL。
## 如何 AWS Firewall Manager 管理 Shield 策略中的范围变更
由于许多更改,例如策略范围设置的更改、资源标签的更改以及将帐户从组织中删除,账户和资源可能会超出 AWS Firewall Manager Shield Advanced 策略的范围。有关策略范围设置的一般信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
使用 AWS Firewall Manager Shield Advanced 策略时,如果账户或资源超出范围,Firewall Manager 将停止监控该账户或资源。
如果账户因从组织中移除而超出范围,则该账户将继续订阅 Shield Advanced。由于账户不再是整合账单账户系列的一部分,因此该账户将产生按比例分配的 Shield Advanced 订阅费用。另一方面,超出范围但仍留在组织中的账户不会产生额外费用。
对于使用经典 WebACL 的 Shield 策略,如果资源超出范围,则该资源将继续受到 Shield Advanced 的保护,并继续收取 Shield Advanced 数据传输费用。
# 在 Firewall Manager Shield 高级策略中使用自动应用层 DDo S 缓解措施
本页介绍了 Firewall Manager 如何使用自动应用层 DDo S 缓解功能。
当您将 Shield Advanced 策略应用于 Amazon CloudFront 分配或应用程序负载均衡器时,您可以选择在策略中配置 Shield Advanced 自动应用层 DDo S 缓解措施。
有关 Shield Advanced 自动缓解的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
Shield Advanced 自动应用层 DDo S 缓解具有以下要求:
+ 自动应用层 DDo S 缓解仅适用于 Amazon CloudFront 分配和应用程序负载均衡器。
如果将您的 Shield Advanced 政策应用于亚马逊 CloudFront 分配,则可以为为**全球**区域创建的 Shield Advanced 策略选择此选项。如果对应用程序负载均衡器应用保护,则可以将该策略应用于 Firewall Manager 支持的任何区域。
+ 自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。
因此,如果您的策略使用 AWS WAF 经典 Web ACLs,则需要将该策略替换为新策略(该策略将自动使用最新版本的) AWS WAF,或者让 Firewall Manager ACLs 为您的现有策略创建新版本的 Web 并切换到使用它们。有关选项的更多信息,请参阅[将 AWS WAF 经典网页 ACLs 替换为最新版本的网页 ACLs](#shield-policies-auto-app-layer-update-waf-version)。
## 自动缓解配置
Firewall Manager Shield 高级策略的自动应用层 DDo S 缓解选项将 Shield Advanced 自动缓解功能应用于策略的范围内账户和资源。有关 Shield Advanced 功能的详细信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
您可以选择让 Firewall Manager 为策略范围内的 CloudFront分配或应用程序负载均衡器启用或禁用自动缓解,也可以选择让策略忽略 Shield 高级自动缓解设置:
+ **启用**:如果您选择启用自动缓解,则还需要设定缓解 Shield Advanced 规则应计算还是应阻止匹配的 web 请求。如果范围内的资源未启用自动缓解功能,或者使用的规则操作与您为策略指定的规则操作不匹配,则 Firewall Manager 会将其标记为不合规。如果将策略配置为自动修正,则 Firewall Manager 会根据需要更新不合规资源。
+ **禁用**:如果您选择禁用自动缓解,则 Firewall Manager 会将范围内的资源标记为不合规,但前提是这些资源启用了自动缓解。如果将策略配置为自动修正,则 Firewall Manager 会根据需要更新不合规资源。
+ **忽略**:如果您选择忽略自动缓解,则 Firewall Manager 在为该策略执行修正活动时不会考虑该策略中的任何自动缓解设置。此设置允许您通过 Shield Advanced 控制自动缓解,无需让 Firewall Manager 覆盖这些设置。此设置不适用于任何通过 Shield Advanced 管理的经典负载均衡器或弹性 IPs 资源,因为 Shield Advanced 目前不支持这些资源的 L7 自动缓解。
## 将 AWS WAF 经典网页 ACLs 替换为最新版本的网页 ACLs
自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。
要确定您的 Shield Advanced 策略的 web ACL 版本,请参阅 [确定 Shield Advanced 策略使用的版本 AWS WAF](shield-policies-identify-waf-version.md)。
如果您想在 Shield Advanced 策略中使用自动缓解措施,并且您的策略目前使用 AWS WAF 经典版网页 ACLs,则可以创建一个新的 Shield Advanced 策略来取代当前的 Shield Advanced 策略,也可以使用本节中描述的选项将早期版本的网页 ACLs 替换为当前 Shield Advanced 策略 ACLs 中的新 (v2) 网页。新政策始终 ACLs 使用最新版本的 Web 创建 AWS WAF。如果您替换了整个策略,则在删除策略时,也可以让 Firewall Manager 删除所有早期版本 ACLs 的网页。本节的其余部分将介绍您在现有策略中替换网页 ACLs 的选项。
当您修改亚马逊 CloudFront 资源的现有 Shield Advanced 策略时,Firewall Manager 可以在任何还没有 v2 Web ACL 的范围内账户中自动为该策略创建一个新的空 AWS WAF (v2) Web ACL。当 Firewall Manager 创建新的 Web ACL 时,如果该策略在同一个账户中已经有经 AWS WAF 典 Web ACL,Firewall Manager 会使用与现有 Web ACL 相同的默认操作设置来配置新版本的 Web ACL。如果现有 AWS WAF 经典 Web ACL 不存在,Firewall Manager 会在新 Web ACL Allow 中将默认操作设置为。Firewall Manager 创建新的 web ACL 后,您可以根据需要通过 AWS WAF 控制台对其进行自定义。
当您选择以下任何策略配置选项时,Firewall Manager 会 ACLs 为尚未拥有这些选项的范围内帐户创建新的 (v2) 网站:
+ 当您启用或禁用自动应用层 DDo S 缓解时。仅此选择只会导致 Firewall Manager 创建新网站 ACLs,而不会替换策略范围内资源上的任何现有 AWS WAF 经典 Web ACL 关联。
+ 当您选择自动修复的策略操作并选择将 C AWS WAF lassic Web 替换为 AWS WAF (v2) We ACLs b ACLs 的选项时。 ACLs 无论您选择哪种配置,您都可以选择替换早期版本的 Web,以实现自动应用层 DDo S 缓解。
选择替换选项时,Firewall Manager 会根据需要创建新版本的 Web ACLs ,然后为策略的范围内资源执行以下操作:
+ 如果某个资源与任何其他活动的 Firewall Manager 策略中的 web ACL 关联,则 Firewall Manager 不会对其进行关联。
+ 对于任何其他情况,Firewall Manager 都会删除与经 AWS WAF 典 Web ACL 的任何关联,并将该资源与策略的 AWS WAF (v2) Web ACL 相关联。
您可以根据需要选择让 Firew ACLs all Manager 将早期版本的网页ACLs 替换为新版本的网页。如果您之前已自定义策略的 AWS WAF 经典版网页 ACLs,则可以在选择让 Firewall Manager 执行替换步骤之前,将新版本的网页 ACLs 更新为类似设置。
您可以通过相同版本的控制台或 Cl AWS WAF assic 访问策略的任一版本的 Web ACL。 AWS WAF
在您删除策略本身 ACLs 之前,Firewall Manager 不会删除任何已替换的 AWS WAF 经典 Web。在该策略 ACLs 不再使用 AWS WAF 经典网页之后,您可以根据需要将其删除。
# 确定 Shield Advanced 策略使用的版本 AWS WAF
本页介绍如何确定您的 Shield Advanced 策略使用哪个版本的 AWS WAF Web ACL。
您可以通过查看策略的 AWS WAF AWS Config 服务相关规则中的参数密钥来确定使用哪个版本的 Firewall Manager Shield 高级策略。如果使用的 AWS WAF 版本是最新版本,则参数键包括`policyId`和`webAclArn`。如果是早期版本 C AWS WAF lassic,则参数键包括`webAclId`和`resourceTypes`。
该 AWS Config 规则仅列出策略当前正在使用范围内的资源的 Web ACLs 密钥。
**确定 AWS WAF 您的 Firewall Manager Shield 高级策略使用哪个版本**
1. 检索 Shield Advanced 策略的策略 ID:
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择**安全策略**。
1. 为策略选择区域。对于 CloudFront 发行版,这是`Global`。
1. 找到您想要的策略并复制其**策略 ID** 的值。
示例策略 ID:`1111111-2222-3333-4444-a55aa5aaa555`。
1. 通过将策略 ID 附加到字符串`FMManagedShieldConfigRule`来创建策略的 AWS Config 规则名称。
AWS Config 规则名称示例:`FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`.
1. 在相关 AWS Config 规则的参数中搜索名为`policyId`和的密钥`webAclArn`:
1. 在家中打开[https://console.aws.amazon.com/config/主 AWS Config](https://console.aws.amazon.com/config/home)机。
1. 在导航窗格中,选择**规则**。
1. 在列表中找到 Firew AWS Config all Manager 策略的规则名称并将其选中。规则页面随即打开。
1. 在**规则详细信息**下的**参数**部分中,查看这些键。如果您找到名为`policyId`和的密钥`webAclArn`,则策略将使用使用最新版本的创建的 Web ACLs AWS WAF。如果您找到名为`webAclId`和的密钥`resourceTypes`,则策略将使用使用早期版本 C AWS WAF lassic 创建的 Web ACLs 。
# 在 Firewall Manager 中使用安全组策略管理 Amazon VPC 安全组
本页介绍如何使用 AWS Firewall Manager 安全组策略来管理贵组织的 Amazon Virtual Private Cloud 安全组 AWS Organizations。您可以将集中控制的安全组策略应用于整个组织或部分账户和资源。您还可以通过审核和使用安全组策略来监控和管理组织中正在使用的安全组策略。
Firewall Manager 会持续维护您的策略,并且当这些策略在整个组织中添加或更新时将它们应用于账户和资源。有关的信息 AWS Organizations,请参阅[《AWS Organizations 用户指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。
有关 Amazon Virtual Private Cloud 安全组的信息,请参阅 *Amazon VPC 用户指南*中的 [VPC 安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。
您可以使用 Firewall Manager 安全组策略在整个 AWS 组织中执行以下操作:
+ 将通用安全组应用到指定的账户和资源。
+ 审核安全组规则,以查找和修复不合规的规则。
+ 审核安全组的使用情况,以清理未使用和冗余的安全组。
本节介绍了 Firewall Manager 安全组策略的工作原理,并提供了使用这些策略的指南。有关创建安全组策略的过程,请参阅 [创建 AWS Firewall Manager 策略](create-policy.md)。
## 安全组策略的最佳实践
此部分列出了针对使用 AWS Firewall Manager管理安全组的建议。
**排除 Firewall Manager 管理员账户**
在您设置策略范围时,请排除 Firewall Manager 管理员账户。当您通过控制台创建使用情况审核安全组策略时,这是默认选项。
**首先禁用自动修正**
对于内容或使用情况审核安全组策略,请先禁用自动修正。查看策略详细信息以确定自动修正可能产生哪些影响。在您确定进行了所需的更改时,请编辑策略以启用自动修正。
**如果您还使用外部来源来管理安全组,请避免冲突**
如果您使用 Firewall Manager 以外的工具或服务来管理安全组,请注意避免 Firewall Manager 中的设置与外部来源中的设置发生冲突。如果您使用自动修正,并且您的设置存在冲突,则可能会造成一个冲突修正循环,从而消耗双方的资源。
例如,假设您配置了另一个服务来维护一组 AWS 资源的安全组,然后配置了一个 Firewall Manager 策略来为部分或全部相同的资源维护不同的安全组。如果您将任何一方配置为不允许任何其他安全组与范围内的资源相关联,则该方将删除由另一方维护的安全组关联。如果双方都以这种方式配置,则最终可能会出现一个相互冲突的取消关联和关联的循环。
此外,假设您创建了 Firewall Manager 审核策略来强制执行与来自其他服务的安全组配置相冲突的安全组配置。Firewall Manager 审核策略应用的修正措施可以更新或删除该安全组,从而使其不符合其他服务的要求。如果将其他服务配置为监控并自动修复发现的任何问题,它将重新创建或更新安全组,使其再次不符合 Firewall Manager 审核策略。如果 Firewall Manager 审核策略配置了自动修正,它将再次更新或删除外部安全组,依此类推。
为避免此类冲突,请在 Firewall Manager 和任何外部来源之间创建互斥的配置。
您可以使用标记将外部安全组排除在 Firewall Manager 策略的自动修正范围之外。为此,请向由外部来源管理的安全组或其他资源添加一个或多个标签。然后,当您在资源规范中定义 Firewall Manager 策略范围时,将带有您添加的一个或多个标签的资源排除在外。
同样,在您的外部工具或服务中,将 Firewall Manager 管理的安全组排除在任何管理或审核活动之外。要么不要导入 Firewall Manager 资源,要么使用 Firewall Manager 特定的标记将其排除在外部管理之外。
**使用情况审核安全组策略的最佳实践**
在使用使用情况审核安全组策略时,应遵循以下准则。
+ 避免在短时间内(例如 15 分钟内)对安全组的关联状态进行多次更改。否则可能会导致 Firewall Manager 错过部分或全部相应的事件。例如,不要快速将安全组与弹性网络接口关联和取消关联。
## 安全组策略注意事项和限制
本节列出了使用 Firewall Manager 安全组策略的注意事项和限制:
**资源类型:Amazon EC2 实例**
本节列出了使用 Firewall Manager 安全组策略保护 Amazon EC2 实例的注意事项和限制:
+ 对于保护 Amazon EC2 弹性网络接口 (ENIs) 的安全组,Firewall Manager 不会立即看到对安全组所做的更改。Firewall Manager 通常会在几个小时内检测到更改,但检测可能会延迟长达六个小时。
+ Firewall Manager 不支持由亚马逊关系数据库服务创建 ENIs 的 Amazon EC2 安全组。
+ Firewall Manager 不支持更新使用 Fargate 服务类型创建的 Amazon EC2 ENI 的安全组。但是,您可以使用 Amazon EC2 服务类型更新 Amazon ECS ENI 的安全组。
+ Firewall Manager 不支持更新请求者管理的 Amazon EC2 的安全组 ENIs,因为防火墙管理器无权修改安全组。
+ 对于常见的安全组策略,这些注意事项牵扯到附加到 EC2 实例上的弹性网络接口 (ENI) 数量与指定是仅修复无额外附加的 EC2 实例还是修复所有实例的策略选项之间的相互作用。每个 EC2 实例都有默认的主要 ENI,您可以附加更多的 ENI ENIs。在 API 中,此选项的策略选项设置为 `ApplyToAllEC2InstanceENIs`。
如果范围内的 EC2 实例附加了其他 ENI,并且策略配置为仅包含只有主要 ENI 的 EC2 实例,则 Firewall Manager 将不会尝试对该 EC2 实例进行任何修复。此外,如果实例超出策略范围之外,Firewall Manager 不会尝试取消它可能为此实例建立的任何安全组关联。
对于以下边缘情况,在资源清理期间,Firewall Manager 可以不考虑策略的资源清理规范,将使复制的安全组关联保持不变:
+ 当具有其他 ENI 的实例之前通过配置为包括所有 EC2 实例的策略进行补救时,要么该实例超出了策略范围,要么将策略设置更改为仅包含不包含其他实例的实例。 ENIs
+ 当一个没有额外实例的实例 ENIs 被配置为仅包含没有额外实例的策略进行补救时 ENIs,另一个 ENI 会附加到该实例,然后该实例超出了策略范围。
**其他注意事项和限制**
下面是 Firewall Manager 安全组策略的其他注意事项和限制。
+ Firewall Manager 安全组策略不支持通过共享的安全组 AWS RAM。
+ Firew AWS RAM all Manager 官方不支持使用在组织中共享前缀列表的功能。尽管它今天可能恰好起作用,但既没有义务 AWS 为该用例提供支持,也没有义务保证它会继续发挥作用。
+ ENIs 只有使用滚动更新 (Amazon ECS) 部署控制器的亚马逊 ECS 服务才能更新 Amazon ECS。对于其他 Amazon ECS 部署控制器,例如 CODE\$1DEPLOY 或外部控制器,Firewall Manager 目前无法更新。 ENIs
+ Firewall Manager 不支持更新网络 ENIs 负载均衡器的安全组。
+ 在常见的安全组策略中,如果共享的 VPC 后来被取消与账户共享,Firewall Manager 将不会删除该账户中的副本安全组。
+ 对于使用情况审核安全组策略,如果您创建了多个具有自定义延迟时间设置的策略,并且所有策略的范围都相同,则检测发现合规的第一个策略将是报告该检测结果的策略。
## 安全组策略使用案例
您可以使用 AWS Firewall Manager 常用安全组策略自动配置主机防火墙,以便在 Amazon VPC 实例之间进行通信。本节列出了标准的 Amazon VPC 架构,并介绍了如何使用 Firewall Manager 的常见安全组策略来保护每种架构。这些安全组策略可以帮助您应用一组统一的规则来选择不同账户中的资源,避免在 Amazon Elastic Compute Cloud 和 Amazon VPC 中按账户进行配置。
使用 Firewall Manager 通用安全组策略,您可以仅标记与其他 Amazon VPC 中的实例通信所需的 EC2 弹性网络接口。这样,同一 Amazon VPC 中的其他实例就会更加安全,且隔离性更强。
**使用案例:监视和控制对应用程序负载均衡器和经典负载均衡器的请求**
您可以使用 Firewall Manager 通用安全组策略来定义范围内的负载均衡器应处理哪些请求。您可以通过 Firewall Manager 控制台进行配置。只有符合安全组入站规则的请求才能到达您的负载均衡器,而负载均衡器只会分发符合出站规则的请求。
**使用案例:可访问互联网的公用 Amazon VPC**
您可以使用 Firewall Manager 通用安全组策略来保护公有 Amazon VPC,例如,仅允许入站端口 443。这就如同针对公有 VPC 仅允许入站 HTTPS 流量。您可以标记 VPC 内的公共资源(例如,作为“PublicVPC”),然后将 Firewall Manager 策略范围设置为仅限具有该标签的资源。Firewall Manager 会自动将策略应用于这些资源。
**使用案例:公有和私有 Amazon VPC 实例**
对于可访问互联网的公有 Amazon VPC 实例,您可以对公共资源使用相同的通用安全组策略,正如之前使用案例中的建议。您可以使用第二项通用安全组策略来限制公共资源和私有资源之间的通信。使用类似 “PublicPrivate” 的内容标记公有和私有 Amazon VPC 实例中的资源,以对其应用第二项策略。您可以使用第三项策略来定义允许私有资源与其他公司或私有 Amazon VPC 实例之间进行的通信。对于此策略,您可以在私有资源上使用另一个标识标签。
**使用案例:中心和分支 Amazon VPC 实例**
您可以使用通用安全组策略来定义中心 Amazon VPC 实例和分支 Amazon VPC 实例之间的通信。您可以使用第二项策略来定义从每个分支 Amazon VPC 实例到中心 Amazon VPC 实例的通信。
**使用案例:Amazon EC2 实例的默认网络接口**
您可以使用通用安全组策略仅允许标准通信,例如内部 SSH 和 patch/OS 更新服务,并禁止其他不安全的通信。
**使用案例:识别具有开放权限的资源**
您可以使用情况审核安全组策略来识别组织内有权与公有 IP 地址通信或拥有属于第三方供应商的 IP 地址的所有资源。
# 使用 Firewall Manager 通用安全组策略
本页介绍了 Firewall Manager 通用安全组策略的工作方式。
Firewall Manager 通过通用安全组策略,提供集中控制的安全组与组织中的账户和资源的关联。您可以指定在企业中应用策略的位置和方式。
您可以将通用安全组策略应用于以下资源类型:
+ Amazon Elastic Compute Cloud(Amazon EC2)实例
+ 弹性网络接口
+ 应用程序负载均衡器
+ Classic 负载均衡器
有关使用控制台创建通用安全组策略的指导,请参阅 [创建通用安全组策略](create-policy.md#creating-firewall-manager-policy-common-security-group)。
**已共享 VPCs**
在通用安全组策略的策略范围设置中,您可以选择包括共享 VPCs。此选项包括 VPCs 由其他账户拥有并与范围内的账户共享的选项。 VPCs 范围内账户拥有的始终包括在内。有关共享的信息 VPCs,请参阅 *Amazon VPC 用户指南 VPCs*中的[使用共享](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)内容。
以下注意事项适用于包含共享。 VPCs除此之外,[安全组策略注意事项和限制](security-group-policies.md#security-groups-limitations) 上还提供了有关安全组策略的一般注意事项。
+ Firewall Manager 会将每个范围内帐户 VPCs 的主安全组复制到中。对于共享 VPC,Firewall Manager 会为与之共享 VPC 的每个范围内账户复制一次主要安全组。这可能会导致单个共享 VPC 中存在多个副本。
+ 创建新的共享 VPC 后,只有当您在 VPC 中至少创建了一个属于策略范围内的资源之后,您才会在 Firewall Manager 安全组策略详细信息中看到该共享 VPC。
+ 当您在 VPCs 启用共享的策略 VPCs 中禁用共享时,Firewall Manager 会删除未与任何资源关联的副本安全组。 VPCsFirewall Manager 会保留剩余的副本安全组,但会停止对其进行管理。删除这些其余的安全组时,需要在每个共享 VPC 实例中执行手动管理。
**主要安全组**
对于每项常用安全组策略,您都需要 AWS Firewall Manager 提供一个或多个主安全组:
+ 主要安全组必须由 Firewall Manager 管理员账户创建,并且可以驻留在账户中的任何 Amazon VPC 实例中。
+ 您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理主要安全组。有关信息,请参阅 *Amazon VPC 用户指南*中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
+ 您可以将一个或多个安全组指定作为 Firewall Manager 安全组策略的主安全组。默认情况下,一个策略中的安全组数量限制为一,但您可以提交请求来增加安全组的数量。有关信息,请参阅[AWS Firewall Manager 配额](fms-limits.md)。
**策略规则设置**
您可以为通用安全组策略的安全组和资源选择以下一种或多种更改控制行为:
+ 识别并报告本地用户对副本安全组所做的任何更改。
+ 取消任何其他安全组与策略范围内的 AWS 资源的关联。
+ 将标签从主要安全组分配到副本安全组。
**重要**
Firewall Manager 不会将 AWS 服务添加的系统标签分发到副本安全组中。系统标签以 `aws:` 为前缀。此外,如果现有安全组的标签与组织的标签策略存在冲突,Firewall Manager 将不会更新现有安全组的标签或创建新的安全组。有关标签策略的信息,请参阅《 AWS Organizations 用户指南》中的[标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。
+ 将安全组引用从主要安全组分发到副本安全组。
这样您能够轻松地在所有范围内资源中为与指定安全组的 VPC 关联的实例建立通用的安全组引用规则。启用此选项后,只有当安全组引用 Amazon Virtual Private Cloud 中的对等安全组时,Firewall Manager 才会传播安全组引用。如果副本安全组未正确引用对等安全组,Firewall Manager 会将这些复制的安全组标记为不合规。有关如何在 Amazon VPC 中引用对等安全组的信息,请参阅[《Amazon VPC 对等指南》](https://docs.aws.amazon.com/vpc/latest/peering/)中的[更新安全组以引用对等 VPC 安全组](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html)。
如果您未启用此选项,则 Firewall Manager 不会将安全组引用传播给副本安全组。有关 Amazon VPC 中 VPC 对等的信息,请参阅 [Amazon VPC 对等指南](https://docs.aws.amazon.com/vpc/latest/peering/)。
**策略的制定和管理**
当您创建通用安全组策略时,Firewall Manager 会将主要安全组复制到策略范围内的每个 Amazon VPC 实例,并将复制的安全组关联到策略范围内的账户和资源。修改主要安全组时,Firewall Manager 会将更改传播到副本。
当您删除通用安全组策略时,您可以选择是否清理该策略创建的资源。对于 Firewall Manager 常见安全组,这些资源是副本安全组。除非您想在删除策略后手动管理每个副本,否则请选择清理选项。在大多数情况下,选择清理选项是最简单的方法。
**如何管理副本**
Amazon VPC 实例中的副本安全组的管理方式与其他 Amazon VPC 安全组相同。有关信息,请参阅 *Amazon VPC 用户指南* 中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。
# 使用 Firewall Manager 内容审核安全组策略
本页介绍了 Firewall Manager 内容审核安全组策略的工作方式。
使用 AWS Firewall Manager 内容审计安全组策略来审计您的组织安全组中正在使用的规则,并将其应用于这些规则。根据您在策略中定义的范围,内容审计安全组策略适用于您的 AWS 组织中使用的所有客户创建的安全组。
有关使用控制台创建内容审核安全组策略的指导,请参阅 [创建内容审核安全组策略](create-policy.md#creating-firewall-manager-policy-audit-security-group)。
**策略范围资源类型**
您可以将内容审核安全组策略应用于以下资源类型:
+ Amazon Elastic Compute Cloud(Amazon EC2)实例
+ 弹性网络接口
+ Amazon VPC 安全组
如果安全组明确位于范围内,或者与范围内的资源相关联,则将其视为策略范围。
**策略规则选项**
您可以为每个内容审核策略使用托管策略规则或自定义策略规则,但不能同时使用这两者。
+ **托管策略规则**:在包含托管规则的策略中,您可以使用应用程序和协议列表来控制 Firewall Manager 审核哪些规则,并将哪些规则标记为合规或不合规。您可以使用 Firewall Manager 管理的列表。您也可以创建和使用自己的应用程序和协议列表。有关这些类型的列表以及自定义列表管理选项的信息,请参阅 [使用 Firewall Manager 托管列表](working-with-managed-lists.md)。
+ **自定义策略规则**:在包含自定义策略规则的策略中,您可以将现有安全组指定为策略的审核安全组。您可以将审核安全组规则用作模板,用于定义 Firewall Manager 审核的规则,并将其标记为合规或不合规。
**审核安全组**
必须先使用 Firewall Manager 管理员账户创建审核安全组,然后才能在策略中使用它们。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。有关信息,请参阅 *Amazon VPC 用户指南*中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
您用于内容审核安全组策略的安全组仅被 Firewall Manager 用作策略范围内安全组的比较参考。Firewall Manager 不会将其与组织中的任何资源相关联。
您在审核安全组中定义规则的方式取决于您在策略规则设置中的选择:
+ **托管策略规则**:对于托管策略规则设置,您可以使用情况审核安全组覆盖策略中的其他设置,以明确允许或拒绝否则可能产生其他合规性结果的规则。
+ 如果您选择始终*允许*在审核安全组中定义的规则,则无论其他策略设置如何,任何与审核安全组中定义的规则相匹配的规则都被视为*符合*该策略。
+ 如果您选择始终*拒绝*在审核安全组中定义的规则,则无论其他策略设置如何,任何与审核安全组中定义的规则相匹配的规则都将被视为*不符合*该策略。
+ **自定义策略规则**:对于自定义策略规则设置,审核安全组提供了范围内的安全组规则中可接受或不可接受的示例:
+ 如果您选择*允许*使用这些规则,则所有范围内安全组必须只拥有在策略的审核安全组规则允许*范围内*的规则。*在这种情况下,策略的安全组规则提供了可以接受的操作示例。*
+ 如果您选择*拒绝*使用这些规则,则所有范围内安全组必须只拥有在策略的审核安全组规则允许*范围外*的规则。*在这种情况下,策略的安全组规则提供了不可接受的操作示例。*
**策略的制定和管理**
创建审核安全组策略时,必须禁用自动修正。建议的做法是在启用自动修正之前先检查策略创建的影响。查看预期效果后,您可以编辑策略并启用自动修正。启用自动修正后,Firewall Manager 会更新或删除范围内安全组中不合规的规则。
**受审核安全组策略影响的安全组**
您的组织中由客户创建的所有安全组都有资格加入审核安全组策略的范围。
副本安全组不是客户创建的,因此没有资格直接纳入审核安全组策略的范围。但是,由于策略的自动修正活动,它们可能会进行更新。通用安全组策略的主要安全组由客户创建,可以属于审核安全组策略的范围。如果审核安全组策略对主要安全组进行了更改,则 Firewall Manager 会自动将这些更改传播到副本。
## 内容审计安全组策略的注意事项和限制
不得在内容审计安全组策略中引用对等安全组。
有关跨所有 Firewall Manager 安全组的其他注意事项的信息,请参阅 [安全组策略注意事项和限制](security-group-policies.md#security-groups-limitations)。
# 使用 Firewall Manager 使用情况审核安全组策略
本页介绍了 Firewall Manager 使用情况审核安全组策略的工作方式。
使用 AWS Firewall Manager 使用情况审计安全组策略来监控您的组织中是否存在未使用和冗余的安全组,并可选择执行清理。如果为此策略启用了自动修正,Firewall Manager 会执行以下操作:
1. 合并冗余安全组(如果选择了该选项)。
1. 删除未使用的安全组(如果选择了该选项)。
您可以将使用情况审核安全组策略应用于以下资源类型:
+ Amazon VPC 安全组
有关使用控制台创建使用情况审核安全组策略的指导,请参阅 [创建使用情况审核安全组策略](create-policy.md#creating-firewall-manager-policy-usage-security-group)。
**Firewall Manager 如何检测和修复冗余的安全组**
要将安全组视为冗余,它们必须设置完全相同的规则,并且位于同一 Amazon VPC 实例中。
要修复冗余安全组集,Firewall Manager 会选择保留该安全组集中的一个安全组,然后将其关联到与该安全组集中的其他安全组关联的所有资源。然后,Firewall Manager 将其他安全组与它们所关联的资源断开关联,使它们处于未使用状态。
**注意**
如果您还选择删除未使用的安全组,Firewall Manager 将执行接下来的操作。这可能导致删除冗余组中的安全组。
**Firewall Manager 如何检测和修复未使用的安全组**
如果同时满足以下两个条件,Firewall Manager 会将安全组视为未使用:
+ 安全组未经任何 Amazon EC2 实例或 Amazon EC2 弹性网络接口使用。
+ 在策略规则时间段中指定的分钟数内,Firewall Manager 未收到其配置项。
策略规则时间段的默认设置为零分钟,但您可以将时间增加至 365 天(525600 分钟),以便有时间将新的安全组与资源关联起来。
**重要**
如果您指定了除默认值 0 以外的分钟数,则必须在 AWS Config中启用间接关系。否则,您的使用情况审核安全组策略将无法按预期运行。有关间接关系的信息 AWS Config,请参阅《*AWS Config 开发者指南》 AWS Config*[中的间接关系](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)。
如果可能,Firewall Manager 会根据您的规则设置,通过从您的账户中删除未使用的安全组来修复这些安全组。如果 Firewall Manager 无法删除安全组,则会将其标为不符合此策略。Firewall Manager 无法删除由其他安全组引用的安全组。
根据您使用的是默认时间段设置还是自定义设置,修复时间会有所不同:
+ **时间段默认设置为零**:使用此设置,只要安全组未经 Amazon EC2 实例或弹性网络接口使用,该安全组即被视为未使用。
对于该零值时间段设置,Firewall Manager 会立即修复安全组。
+ **时间段大于零**:使用此设置,当安全组未经 Amazon EC2 实例或弹性网络接口使用且 Firewall Manager 在指定的分钟数内未收到安全组的配置项时,该安全组被视为未使用。
对于非零时间段设置,Firewall Manager 会在安全组保持未使用状态 24 小时后对其进行修复。
**默认账户规范**
通过控制台创建使用情况审核安全组策略时,Firewall Manager 会自动选择**排除指定账户并包括所有其他账户**。然后,该服务会将 Firewall Manager 管理员账户放入要排除的列表中。这是推荐的方法,它允许您手动管理属于 Firewall Manager 管理员账户的安全组。
# 将 Amazon VPC 网络访问控制列表(ACL)策略与 Firewall Manager 配合使用
本节介绍 AWS Firewall Manager 网络 ACL 策略的工作原理,并提供使用这些策略的指导。有关使用控制台创建网络 ACL 策略的指南,请参阅 [创建网络 ACL 策略](create-policy.md#creating-firewall-manager-policy-network-acl)。
有关 Amazon VPC 网络访问控制列表 (ACLs) 的信息,请参阅 A *mazon VPC 用户指南ACLs*中的[使用网络控制子网的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。
您可以使用 Firewall Manager 网络 ACL 策略来管理您的组织的亚马逊虚拟私有云(亚马逊 VPCACLs)网络访问控制列表 () AWS Organizations。您可以定义策略的网络 ACL 规则设置,以及想在其中执行此种设置的账户和子网。在整个组织内添加或更新账户和子网时,Firewall Manager 会持续将您的策略设置应用于这些账户和子网。有关策略范围和的信息 AWS Organizations,请参阅[使用 AWS Firewall Manager 策略范围](policy-scope.md)和《[AWS Organizations 用户指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。
在定义 Firewall Manager 网络 ACL 策略时,除了标准的 Firewall Manager 策略设置(例如名称和范围)外,还需要提供以下内容:
+ 处理入站和出站流量的第一条和最后一条规则。Firewall Manager 强制在网络 ACLs 中存在和排列策略范围内的此类内容,或者报告不合规行为。您的个人账户可以创建在策略的第一条和最后一条规则之间运行的自定义规则。
+ 当修复会导致网络 ACL 中的规则之间产生流量管理冲突时,是否强制修复。这仅在为策略启用修复时适用。
## 使用 Firewall Manager 网络 ACL 策略的最佳实践
本节列出了有关使用 Firewall Manager 网络 ACL 策略和托管网络的建议 ACLs。
**参考`FMManaged`标签以识别由 Firewall Manager 管理的网络 ACLs**
Firew ACLs all Manager 管理的网络的`FMManaged`标签设置为`true`。使用此标签可以帮助将您自己的自定义网络与通过 Firew ACLs all Manager 管理的自定义网络区分开来。
**不要修改网络 ACL 上的 `FMManaged` 标签的值**
Firewall Manager 使用此标签设置和确定其对网络 ACL 的管理状态。
**不要修改具有 Firewall Manager 托管网络的子网的关联 ACLs**
请勿手动更改您的子网与 Firewall Manager 管理 ACLs 的任何网络之间的关联。否则 Firewall Manager 无法管理这些子网的保护措施。您可以通过查找 Firew ACLs all Manager 的`FMManaged`标签设置来识别由 Firewall Manager 管理的网络`true`。
要从 Firewall Manager 策略管理中移除子网,应使用 Firewall Manager 策略范围设置来排除该子网。例如,您可以标记子网,然后将此标签排除在策略范围之外。有关更多信息,请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。
**更新托管网络 ACL 时,不要修改 Firewall Manager 管理的规则**
在 Firewall Manager 管理的网络 ACL 中,遵照 [在 Firewall Manager 中使用网络 ACL 规则和标记](network-acls-fms-managed.md) 中描述的编号方案,将您的自定义规则与此种策略规则隔开。仅添加或修改数字介于 5,000 和 32,000 之间的规则。
**避免为账户限额添加太多规则**
在修复网络 ACL 期间,Firewall Manager 通常会临时增大网络 ACL 规则计数。为避免出现不合规问题,请确保为正在使用的规则留有足够空间。有关更多信息,请参阅 [Firewall Manager 如何修复不合规的托管网络 ACLs](network-acls-remediation.md)。
**首先禁用自动修正**
先从禁用自动修复开始,然后查看策略详细信息以确定自动修正可能产生哪些影响。在您确定进行了所需的更改时,请编辑策略以启用自动修正。
## Firewall Manager 网络 ACL 策略的注意事项
本节列出了使用 Firewall Manager 网络 ACL 策略的注意事项和限制。
+ **更新时间比其他策略慢** — 由于 Amazon 网络 ACL 处理请求的速度有限,Firewall Manager 应用 EC2 网络 ACL APIs 策略和策略更改的速度通常比其他防火墙管理器策略要慢。您可能会注意到,策略更改花费的时间要长于其他 Firewall Manager 策略进行的类似更改,尤其是在首次添加策略时。
+ **对于子网初始保护,Firewall Manager 首选旧的策略**:这仅适用于尚未得到 Firewall Manager 网络 ACL 策略保护的子网。如果一个子网同时属于多个网络 ACL 策略的范围,则 Firewall Manager 使用最旧的策略来保护此子网。
+ **策略停止保护子网的原因**:管理子网的网络 ACL 的策略保留管理能力,直到发生以下情况之一:
+ 子网超出了策略的范围。
+ 策略已删除。
+ 您可以手动更改子网与由其他 Firewall Manager 策略进行管理且子网在其范围内的网络 ACL 的关联。
**Topics**
+ [使用 Firewall Manager 网络 ACL 策略的最佳实践](#network-acls-best-practice)
+ [Firewall Manager 网络 ACL 策略的注意事项](#network-acls-caveats)
+ [在 Firewall Manager 中使用网络 ACL 规则和标记](network-acls-fms-managed.md)
+ [Firewall Manager 如何启动子网的网络 ACL 管理](network-acls-initialization.md)
+ [Firewall Manager 如何修复不合规的托管网络 ACLs](network-acls-remediation.md)
+ [删除 Firewall Manager 网络 ACL 策略](network-acls-deletion.md)
# 在 Firewall Manager 中使用网络 ACL 规则和标记
本节介绍网络 ACL 策略规则规范以及由 Firewall Manager 管理的网络 ACLs 。
**在托管网络 ACL 上进行标记**
Firewall Manager 使用值为 `true` 的 `FMManaged` 标签来标记托管网络 ACL。Firewall Manager 仅在设置了 ACLs 此标签的网络上执行修复。
**您在策略中定义的规则**
在网络 ACL 策略规范中,您可以为入站流量定义要首先和最后运行的规则,并为出站流量定义要首先和最后运行的规则。
默认情况下,您可以定义最多 5 条入站规则,按照策略中第一条和最后一条规则的任意组合使用。同样,您可以定义最多 5 条出站规则。有关这些限制的更多信息,请参阅 [软限额](fms-limits.md#fms-limits-mutable)。有关网络的一般限制的信息 ACLs,请参阅 [Amazon VPC *用户指南 ACLs中的 Amazon VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。
您不需要为策略规则分配规则编号。相反,您可以按照评估规则的顺序指定规则,然后 Firewall Manager 使用该顺序在其管理的网络 ACLs 中分配规则编号。
此外,您还可以管理策略的网络 ACL 规则规范,就如同通过 Amazon VPC 管理网络 ACL 中的规则一样。有关 Amazon VPC 中网络 ACL 管理的信息,请参阅 A **mazon VPC 用户指南 ACLs**中的[[使用网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)控制子网流量 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)和使用网络。
**托管网络 ACL 中的规则**
Firewall Manager 在其管理的网络 ACL 中配置规则,它将策略的第一条和最后一条规则置于个人账户管理人员定义的任何自定义规则之前和之后。Firewall Manager 保留自定义规则的顺序。从编号最低的规则开始评估网络 ACLs 。
Firewall Manager 首次创建网络 ACL 时,它使用以下编号定义规则:
+ **第一条规则:1、2、...** — 由您在 Firewall Manager 网络 ACL 策略中定义。
Firewall Manager 从 1 开始分配规则编号,每次增加 1,规则按照您在策略规范中设置的顺序进行排序。
+ **自定义规则:5,000、5,100、...** — 由个人账户管理人员通过 Amazon VPC 进行管理。
Firewall Manager 从 5,000 开始为这些规则分配编号,后续每条规则增加 100。
+ **最后一条规则:... 32,765、32,766**:由您在 Firewall Manager 网络 ACL 策略中定义。
Firewall Manager 分配的规则编号止于最大数字 32766,每次增加 1,规则按照您在策略规范中设置的顺序进行排序。
网络 ACL 初始化后,Firewall Manager 无法控制各个帐户在其托管网络中所做的更改 ACLs。个人账户可以更改网络 ACL 而不使其违反规定,前提是任何自定义规则的编号保持在策略的第一条和最后一条规则之间,且第一条和最后一条规则保持其指定的顺序。在管理自定义规则时,最佳做法是遵守本节所述的编号。
# Firewall Manager 如何启动子网的网络 ACL 管理
本节介绍了 Firewall Manager 如何启动子网的网络 ACL 管理。
当 Firewall Manager 将子网与其创建且标有 `FMManaged` 设置为 `true` 的网络 ACL 关联时,就开始管理此子网的网络 ACL 。
要遵守网络 ACL 策略,需要子网的网络 ACL 按照策略中指定的顺序,将策略的第一条规则放在第一位,并按顺序将最后一条规则排在最后,其他所有自定义规则放在中间。可以通过子网已关联的非托管网络 ACL 或通过托管网络 ACL 来满足这些要求。
当 Firewall Manager 将网络 ACL 策略应用于关联至非托管网络 ACL 的子网时,Firewall Manager 会按顺序查看以下内容,并在发现可行选项时停止:
1. **关联的网络 ACL 已经合规**:如果当前与子网关联的网络 ACL 合规,则 Firewall Manager 会保留这种关联,不启动此子网的网络 ACL 管理。
Firewall Manager 不会更改或以其他方式管理其不拥有的网络 ACL,但只要此网络 ACL 合规,Firewall Manager 就会将其保留在原位,只是监控其策略合规性。
1. **有合规的托管网络 ACL 可用**:如果 Firewall Manager 已经管理有符合所需配置的网络 ACL,则可以选择此选项。如果启用修复,Firewall Manager 会将子网与其关联起来。如果禁用修复,Firewall Manager 会将子网标为不合规,并提供替换网络 ACL 关联的修复选项。
1. **创建新的合规托管网络 ACL**:如果启用修复,Firewall Manager 将创建一个新的网络 ACL 并将其与子网关联。否则,Firewall Manager 会将子网标为不合规,并提供创建新的网络 ACL 和替换网络 ACL 关联的修复选项。
如果这些步骤失败,Firewall Manager 会报告子网不合规。
当子网首次进入范围内,而子网的非托管网络 ACL 不合规时,Firewall Manager 会遵照这些步骤。
# Firewall Manager 如何修复不合规的托管网络 ACLs
本节介绍当托管网络不符合策略 ACLs 时,Firewall Manager 如何对其进行修复。Firewall Manager 仅修复托管网络 ACLs,`FMManaged`标签设置为。`true`有关不由 F ACLs irewall Manager 管理的网络,请参阅[网络 ACL 初始管理](network-acls-initialization.md)。
修复可恢复第一条规则、自定义规则和最后一条规则的相对位置,并恢复第一条和最后一条规则的顺序。在修复期间,Firewall Manager 不一定会将规则移动至其在网络 ACL 初始化中使用的规则编号。有关这些规则类别的初始数字设置和说明,请参阅 [网络 ACL 初始管理](network-acls-initialization.md)。
为建立合规的规则和规则顺序,Firewall Manager 可能需要在网络 ACL 内移动规则。Firewall Manager 会尽量保留网络 ACL 的保护措施,它在操作时保持合规的现有规则排序。例如,它可能会暂时将规则复制到新位置,然后有序删除原始规则,但在此过程中保留相对位置。
这种方法可以保护您的设置,但也需要在网络 ACL 中为临时规则留出空间。如果 Firewall Manager 达到网络 ACL 中的规则限制,它会停止修复。出现这种情况时,网络 ACL 仍然不合规,Firewall Manager 会报告其原因。
如果某个账户向由 Firewall Manager 管理的网络 ACL 添加了自定义规则,而这些规则干扰了 Firewall Manager 的修复工作,Firewall Manager 会停止对网络 ACL 的任何修复活动并报告存在冲突。
**强制修复**
如果为策略选择自动修复,则还需要指定是对第一条规则还是最后一条规则强制执行修复。
当在自定义规则和策略规则之间的流量处理中遇到冲突时,Firewall Manager 会引用相应的强制修复设置。如果启用了强制修复,尽管存在冲突,Firewall Manager 也会应用修复。如果未启用此选项,Firewall Manager 会停止修复。无论哪种情况,Firewall Manager 都会报告规则冲突并提供修复选项。
**规则计数要求和限制**
在修复期间,Firewall Manager 可能会临时复制规则,以便在不改变规则提供的保护的情况下移动规则。
对于入站或出站规则,Firewall Manager 执行修复可能需要的最大规则数如下:
```
2 * (the number of rules defined in the policy for the traffic direction)
+
the number of custom rules defined in the network ACL for the traffic direction
```
网络 ACLs 和网络 ACL 策略受可变规则限制的约束。如果 Firewall Manager 的修复工作达到极限,它将停止尝试修复并报告不合规情况。
您可以申请提高限制,为 Firewall Manager 执行其修复活动留出空间。或者,您可以更改策略或网络 ACL 中的配置,减少使用的规则数。
有关网络 ACL 限制的信息,请参阅 [Amazon VPC *用户指南 ACLs中的 Amazon VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。
**修复失败时**
在更新网络 ACL 时,如果 Firewall Manager 因故需要停止,它不会回滚更改,而是将网络 ACL 保留在临时状态。如果您在 `FMManaged` 标记设置为 `true` 的网络 ACL 中看到有重复的规则,则 Firewall Manager 可能正在对其进行修复。更改可能会在一段时间内部分完成,但由于 Firewall Manager 采用的修复方法,这不会中断流量或削弱对关联子网的保护。
当 Firewall Manager 无法完全修复不合规的网络 ACLs 时,它会报告关联子网的不合规情况,并建议可能的补救选项。
**修复失败后重试**
在大多数情况下,如果 Firewall Manager 未能完成对网络 ACL 的修复更改,它最后会重试更改。
例外情况是修复达到网络 ACL 规则计数限制或 VPC 网络 ACL 计数限制时。Firewall Manager 无法执行占用超过其限制设置的 AWS 资源的补救活动。在这些情况下,您需要减小计数或增加限制才能继续。有关限制的信息,请参阅 [Amazon VPC *用户指南 ACLs中的亚马逊 VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。
## Firewall Manager 网络 ACL 合规性报告
Firewall Manager 监控并报告连接到范围内子网的所有网络 ACLs 的合规性。
一般来说,不合规发生在规则排序不正确或策略规则与自定义规则之间的流量处理产生冲突等情况下。不合规报告包括违规行为和修复选项。
Firewall Manager 以与其他策略类型相同的方式,报告网络 ACL 策略的合规性违规行为。有关合规性报告的信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)。
**策略更新期间不合规**
修改网络 ACL 策略后,在 Firewall Manager 更新该策略范围内的网络之前 ACLs,Firewall Manager 会将这些网络标记为 ACLs不合规。即使严格来说,即使网络 ACLs 可能合规,Firewall Manager 也会这样做。
例如,如果您从策略规范中删除规则,而范围内的网络 ACLs 仍有额外的规则,则它们的规则定义可能仍符合该策略。但是,由于额外规则是 Firewall Manager 管理的规则的一部分,因此 Firewall Manager 将其视为违反当前的策略设置。这与 Firewall Manager 查看添加到防火墙管理器托管网络的自定义规则的方式不同 ACLs。
# 删除 Firewall Manager 网络 ACL 策略
本节描述了在删除 Firewall Manager 网络 ACL 策略时,Firewall Manager 中会发生的情况。
当您删除 Firewall Manager 网络 ACL 策略时,Firewall Manager 会将 ACLs 该策略管理的所有网络`false`上的`FMManaged`标签值更改为。
此外,您可以选择是否清理由此策略创建的资源。如果选择清理,Firewall Manager 将依次尝试以下步骤:
1. **将关联恢复到原始状态**:Firewall Manager 尝试将子网关联回在 Firewall Manager 开始进行管理之前与之关联的网络 ACL。
1. **从网络 ACL 中移除第一条和最后一条规则**:如果 Firewall Manager 无法更改关联,它会尝试删除策略的第一条和最后一条规则,只留下与子网关联的网络 ACL 中的自定义规则。
1. **不对规则或关联执行任何操作**:如果上述任一操作都不可行,Firewall Manager 将保持网络 ACL 及其关联不变。
如果不选择清理选项,则需要在删除策略后手动管理每个网络 ACL。在大多数情况下,选择清理选项是最简单的方法。
# 在 Firewall Manager 中使用 AWS Network Firewall 策略
本节介绍如何在 Firewall Manager 中使用 AWS Network Firewall 策略。
您可以使用 AWS Firewall Manager Network AWS Network Firewall *Firewall *策略*在您的*组织*中 AWS Organizations管理您的亚马逊虚拟私有*VPCs*云的防火墙*。您可以将集中控制的防火墙应用于整个组织或部分帐户和 VPCs.
Network Firewall 为您的 VPCs中的公共子网提供网络流量过滤保护。Firewall Manager 根据您的策略所定义的*防火墙管理类型*创建和管理您的防火墙。Firewall Manager 提供以下防火墙管理模型:
+ **分布式** – 对于策略范围内的每个账户和 VPC,Firewall Manager 都会创建网络防火墙防火墙,并将防火墙端点部署到 VPC 子网以过滤网络流量。
+ **集中式** – Firewall Manager 在单个 Amazon VPC 中创建单个 Network Firewall 防火墙。
+ **导入现有防火墙** – Firewall Manager 在单个 Firewall Manager 策略中导入现有防火墙进行管理。您可以对策略管理的导入防火墙应用其他规则,以确保您的防火墙符合您的安全标准。
**注意**
Firewall Manager 网络防火墙策略是防火墙管理器策略,用于管理 VPCs 整个组织的网络防火墙保护。
Network Firewall 保护在 Network Firewall 服务的资源中指定,这些资源被称为防火墙策略。
有关使用 Network Firewall 的信息,请参阅 [AWS Network Firewall 开发人员指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)。
以下各节介绍使用 Firewall Manager Network Firewall 策略的要求,并描述了这些策略的工作原理。有关创建策略的过程,请参阅 [为创建 AWS Firewall Manager 策略 AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall)。
**重要**
**您必须启用资源共享。**Network Firewall 策略在组织中的账户之间共享 Network Firewall 规则组。要启用此功能,必须为 AWS Organizations启用资源共享。有关如何启用资源共享的信息,请参阅 [Network Firewall 和 DNS 防火墙策略的资源共享](resource-sharing.md)。
**重要**
**您必须定义您的 Network Firewall 规则组。**当您指定新的 Network Firewall 策略时,您可以像 AWS Network Firewall 直接使用时一样定义防火墙策略。您可以指定要添加的无状态规则组、默认的无状态操作和有状态规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中,才能将其包含在策略中。有关创建 Network Firewall 规则组的信息,请参阅 [AWS Network Firewall 规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。
**Topics**
+ [Firewall Manager 如何创建防火墙端点](fms-create-firewall-endpoints.md)
+ [Firewall Manager 如何管理您的防火墙子网](fms-manage-firewall-subnets.md)
+ [Firewall Manager 如何管理您的 Network Firewall 资源](fms-manage-network-firewall.md)
+ [Firewall Manager 如何为您的策略管理和监控 VPC 路由表](fms-manage-vpc-route-tables.md)
+ [为 AWS Network Firewall 策略配置日志记录](nwfw-policies-logging-config.md)
# Firewall Manager 如何创建防火墙端点
本节介绍了 Firewall Manager 如何创建防火墙端点。
策略中的*防火墙管理类型*决定了 Firewall Manager 如何创建防火墙。您的策略可以创建*分布式*防火墙、*集中式*防火墙,也可以**导入现有防火墙**:
+ **分布式** – 在分布式部署模型下,Firewall Manager 会为策略范围内的每个 VPC 创建端点。您可以通过指定要在哪些可用区域中创建防火墙端点来自定义端点位置,也可以通过 Firewall Manager 在具有公用子网的可用区中自动创建端点。如果您手动选择可用区,则可以选择限制 CIDRs 每个可用区允许的可用区。如果您决定让 Firewall Manager 自动创建端点,则还必须指定该服务是在您的中创建单个端点还是多个防火墙端点 VPCs。
+ 对于多个防火墙端点,Firewall Manager 会在每个可用区部署一个防火墙端点,在该可用区中,您的子网中或带有一个互联网网关,或在路由表中有一个由 Firewall Manager 创建的防火墙端点路由。这是 Network Firewall 策略的默认选项。
+ 对于单个防火墙端点,Firewall Manager 在任何具有互联网网关路由的子网中的单个可用区中部署防火墙端点。使用此选项,其他区域的流量需要跨越区域边界才能被防火墙过滤。
**注意**
对于这两个选项,都必须有一个子网与其中包含 IPv4 /prefixlist 路由的路由表相关联。Firewall Manager 不检查任何其他资源。
+ **集中式** – 使用集中部署模型,Firewall Manager 可在*检查 VPC* 内创建一个或多个防火墙端点。检查 VPC 是一个中央 VPC,Firewall Manager 可以在其中启动您的端点。当您使用集中式部署模型时,您还需要指定要在哪些可用区中创建防火墙端点。创建策略后不能更改检查 VPC。要使用其他检查 VPC,您必须创建新的策略。
+ **导入现有防火墙** – 导入现有防火墙时,您可以通过向策略中添加一个或多个*资源集*来选择要在策略中管理的防火墙。资源集是指由组织中的账户管理的资源集合,在本例中这些资源就是 Network Firewall 中的现有防火墙。在策略中使用资源集之前,必须首先创建一个资源集。有关 Firewall Manager 资源集的信息,请参阅 [在 Firewall Manager 中对资源进行分组](fms-resource-sets.md)。
使用导入的防火墙时请注意以下事项:
+ 如果导入的防火墙不合规,Firewall Manager 将尝试自动解决违规问题,但以下情况除外:
+ Firewall Manager 和 Network Firewall 策略的有状态或无状态默认操作不匹配。
+ 导入的防火墙的防火墙策略中的规则组与 Firewall Manager 策略中的规则组具有相同的优先级。
+ 导入的防火墙使用的防火墙策略与该策略资源集以外的防火墙关联。之所以会发生这种情况,是因为一个防火墙只能具有一个防火墙策略,但是一个防火墙策略可以与多个防火墙相关联。
+ 属于已导入的防火墙的防火墙策略(也在防火墙管理器策略中指定)的已有规则组被赋予不同的优先级。
+ 如果在策略中启用资源清理,Firewall Manager 将从资源集范围内的防火墙中删除 FMS 导入策略中的规则组。
+ 由防火墙管理器导入现有防火墙管理类型所管理的防火墙,一次只能由一个策略管理。如果将相同的资源集添加到多个导入网络防火墙策略中,则该资源集中的防火墙将由资源集所加入的第一个策略管理,而第二个策略将忽略该资源集中的防火墙。
+ Firewall Manager 当前不支持异常策略配置的流式传输。有关直播异常策略的信息,请参阅 *AWS Network Firewall 开发人员指南*中的[直播异常策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy)。
+ 导入现有防火墙不支持导入连接到 Transit 网关的防火墙。
如果您使用分布式或集中式防火墙管理更改策略的可用区域列表,Firewall Manager 将尝试清理过去创建但当前不在策略范围内的任何端点。只有在没有引用超出范围端点的路由表路由时,Firewall Manager 才会删除该端点。如果 Firewall Manager 发现无法删除这些端点,它会将防火墙子网标记为不合规,并将继续尝试删除该端点,直到可以安全删除为止。
# Firewall Manager 如何管理您的防火墙子网
本节介绍了 Firewall Manager 如何管理您的防火墙子网。
防火墙子网是 Firewall Manager 为过滤网络流量的防火墙端点创建的 VPC 子网。每个防火墙端点都必须部署在专用 VPC 子网中。Firewall Manager 在策略范围内的每个 VPC 中至少创建一个防火墙子网。
对于使用分布式部署模型和自动端点配置的策略,Firewall Manager 仅在可用区域中创建防火墙子网,这些子网的子网带有互联网网关路由,或者子网具有通往 Firewall Manager 为其策略创建的防火墙端点的路由。有关更多信息,请参阅 *Amazon VPC 用户指南*中的[VPCs 和子网](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics)。
对于使用分布式或集中式模式(您指定 Firewall Manager 在哪个可用区中创建防火墙端点)的策略,无论可用区中是否有其他资源,Firewall Manager 都会在这些特定的可用区中创建一个端点。
首次定义 Network Firewall 策略时,需要指定 Firewall Manager 如何管理范围内每个子网中的防火墙子网。 VPCs 此后您不能对此选项进行更改。
对于使用分布式部署模型和自动端点配置的策略,您可以在以下选项中进行选择:
+ 为每个具有公有子网的可用区部署防火墙子网。这是默认行为。这为您的流量过滤保护提供了高可用性。
+ 在一个可用区中部署单个防火墙子网。通过此选项,Firewall Manager 可以识别 VPC 中哪个区域的公有子网最多,并在该区域创建防火墙子网。单个防火墙端点可过滤 VPC 的所有网络流量。这种方式可以降低防火墙成本,但其可用性不高,需要来自其他区域的流量才能跨越区域边界,以实现过滤。
对于使用带有自定义端点配置的分布式部署模型或集中式部署模型的策略,Firewall Manager 会在策略范围内的指定可用区中创建子网。
您可以提供 VPC CIDR 块供 Firewall Manager 用于防火墙子网,也可以将防火墙端点地址的选择留给 Firewall Manager 来决定。
+ 如果你不提供 CIDR 块,Firewall Manager 会向你查询 VPCs 可供使用的可用 IP 地址。
+ 如果您提供 CIDR 块列表,Firewall Manager 将仅在您提供的 CIDR 块中搜索新子网。您必须使用 /28 CIDR 块。对于 Firewall Manager 创建的每个防火墙子网,它会遍历您的 CIDR 阻止列表,并使用它找到的第一个适用于可用区和 VPC 且具有可用地址的子网。如果 Firewall Manager 无法在 VPC 中找到开放空间(有或没有限制),则该服务不会在 VPC 中创建防火墙。
如果 Firewall Manager 无法在可用区中创建所需的防火墙子网,则会将该子网标记为不符合策略。当该区域处于这种状态时,该区域的流量必须跨越区域边界,才能被其他区域中的端点过滤。这与单防火墙子网场景类似。
# Firewall Manager 如何管理您的 Network Firewall 资源
本节介绍了如何在 Firewall Manager 中管理 Network Firewall 资源。
在 Firewall Manager 中定义策略时,需要提供标准 AWS Network Firewall 防火墙策略的网络流量过滤行为。您可以添加无状态和有状态的 Network Firewall 规则组,并为与任何无状态规则不匹配的数据包指定默认操作。有关在中使用防火墙策略的信息 AWS Network Firewall,请参阅[AWS Network Firewall 防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)。
对于分布式和集中式策略,当您保存网络防火墙策略时,Firewall Manager 会在策略范围内的每个 VPC 中创建防火墙和防火墙策略。Firewall Manager 通过连接以下值来命名这些网络防火墙资源:
+ 固定字符串,可以是 `FMManagedNetworkFirewall` 或 `FMManagedNetworkFirewallPolicy`,具体取决于资源类型。
+ Firewall Manager 策略名称。这是您在创建策略时为其分配的名称。
+ Firewall Manager 策略 ID。这是 Firewall Manager 策略的 AWS 资源 ID。
+ Amazon VPC ID。这是 Firewall Manager 在其中创建防火墙和防火墙策略的 VPC 的 AWS 资源 ID。
以下是由 Firewall Manager 管理的防火墙的名称示例:
```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
下面显示了一个防火墙策略名称示例:
```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
创建策略后,中的成员帐户无法覆盖您的防火墙策略设置或规则组,但他们可以将规则组添加到 Firewall Manager 创建的防火墙策略中。 VPCs
# Firewall Manager 如何为您的策略管理和监控 VPC 路由表
本节介绍了 Firewall Manager 如何管理和监控 VPC 路由表。
**注意**
使用集中部署模型的策略目前不支持路由表管理。
当 Firewall Manager 创建您的防火墙端点时,它还会为它们创建 VPC 路由表。但是,Firewall Manager 并不管理您的 VPC 路由表。您必须将 VPC 路由表配置为将网络流量导向由 Firewall Manager 创建的防火墙端点。使用 Amazon VPC 入口路由增强功能,更改您的路由表以通过新的防火墙端点来路由流量。您的更改必须在要保护的子网和外部位置之间插入防火墙端点。您需要执行的确切路由取决于您的架构及其组件。
当前,Firewall Manager 允许监控您的 VPC 路由表路由,以查看任何绕过防火墙而流向互联网网关的流量。Firewall Manager 不支持其他目标网关,例如 NAT 网关。
有关管理您的 VPC 路由表的信息,请参阅 *Amazon Virtual Private Cloud 用户指南*中的[管理 VPC 的路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。有关管理 Network Firewall 路由表的信息,请参阅 *AWS Network Firewall 开发人员指南*中的 [AWS Network Firewall的路由表配置](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html)。
当您为策略启用监控时,Firewall Manager 会持续监控 VPC 路由配置,并提醒您注意绕过该 VPC 的防火墙检查的流量。如果子网有防火墙端点路由,Firewall Manager 会查找以下路由:
+ 将流量发送至 Network Firewall 端点的路由。
+ 用于将流量从 Network Firewall 端点转发到互联网网关的路由。
+ 从互联网网关到 Network Firewall 端点的入站路由。
+ 来自防火墙子网的路由。
如果子网有网络防火墙路由,但网络防火墙和您的互联网网关路由表中存在非对称路由,Firewall Manager 会将该子网报告为不合规。Firewall Manager 还会在 Firewall Manager 创建的防火墙路由表以及子网的路由表中检测到互联网网关的路由,并将其报告为不合规。Network Firewall 子网路由表和您的互联网网关路由表中的其他路由也被报告为不合规。根据违规类型,Firewall Manager 会建议采取修正措施,使路由配置合规。Firewall Manager 并非在所有情况下都提供建议。例如,如果您的客户子网中有一个在 Firewall Manager 之外创建的防火墙端点,则 Firewall Manager 不会建议采取修正措施。
默认情况下,Firewall Manager 会将所有跨可用区边界以供检查的流量标记为不合规。但是,如果您选择在 VPC 中自动创建单个端点,Firewall Manager 不会将跨可用区边界的流量标记为不合规。
对于使用带有自定义端点配置的分布式部署模型的策略,您可以选择将从没有防火墙端点的可用区跨可用区边界的流量标记为合规或不合规。
**注意**
Firewall Manager 不建议对非IPv4 路由(例如IPv6 和前缀列表路由)采取补救措施。
使用 `DisassociateRouteTable` API 调用发出的调用最长可能需要 12 小时才会被检测到。
Firewall Manager 为包含防火墙端点的子网创建网络防火墙路由表。Firewall Manager 假设此路由表仅包含有效的互联网网关和 VPC 默认路由。此路由表中的任何额外或无效路由都被视为不合规。
在配置 Firewall Manager 策略时,如果选择**监控**模式,Firewall Manager 将提供有关您的资源的资源违规和修正详细信息。您可以使用这些建议的修正措施来修正路由表中的路由问题。如果您选择**关闭**模式,Firewall Manager 不会为您监控您的路由表内容。使用此选项,您可以自己管理 VPC 路由表。有关这些资源违规行为的更多信息,请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)。
**警告**
如果您在创建策略时在 “** AWS Network Firewall 路由配置**” 下选择 “**监控**”,则无法为该策略将其关闭。但是,如果您选择**关闭**,则可以稍后再启用该配置。
# 为 AWS Network Firewall 策略配置日志记录
本节介绍了如何为 Network Firewall 策略启用集中日志记录,以获取有关组织内流量的详细信息。您可以选择流量日志来捕获网络流量,也可以选择警报日志来报告与规则操作设置为 `DROP` 或 `ALERT` 的规则相匹配的流量。有关 AWS Network Firewall 日志记录的更多信息,请参阅 *AWS Network Firewall 开发人员指南*中的[录入来自 AWS Network Firewall的网络流量](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)。
您将日志从策略的 Network Firewall 防火墙发送到 Amazon S3 存储桶。启用日志记录后,通过更新防火墙设置来 AWS Network Firewall 传送每个已配置的 Network Firewall 的日志,将日志传送到您选定的带有保留 AWS Firewall Manager 前缀的 Amazon S3 存储桶。`-`
**注意**
Firewall Manager 使用此前缀来确定日志配置是由 Firewall Manager 添加的,还是由账户所有者添加的。如果账户所有者尝试将保留的前缀用于自己的自定义日志记录,则该前缀会被 Firewall Manager 策略中的日志配置覆盖。
有关如何创建 Amazon S3 存储桶和查看存储日志的更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[什么是 Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)。
要启用日志记录功能,您必须满足以下要求:
+ 您在Firewall Manager 策略中指定的 Amazon S3 必须存在。
+ 您必须拥有以下权限:
+ `logs:CreateLogDelivery`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
+ 如果作为您的日志目标的 Amazon S3 存储桶使用服务器端加密,且密钥存储在中 AWS Key Management Service,则必须将以下策略添加到 AWS KMS 客户管理的密钥中,以允许 Firewall Manager 登录到您的 CloudWatch 日志组:
```
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
请注意,只有 Firewall Manager 管理员账户中的存储分区可以用于 AWS Network Firewall 集中日志记录。
在 Network Firewall 策略上启用集中日志记录时,Firewall Manager 会对您的账户执行以下操作:
+ Firewall Manager 会更新所选 S3 存储桶的权限以允许传送日志。
+ Firewall Manager 在 S3 存储桶中为策略范围内的每个成员账户创建目录。每个账户的日志可在 `/-/AWSLogs/` 找到。
**启用 Network Firewall 策略的日志记录**
1. 使用 Firewall Manager 管理员账户创建 Amazon S3 存储桶。有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择**安全策略**。
1. 选择要为其启用日志记录的 Network Firewall 策略。有关 AWS Network Firewall 日志记录的更多信息,请参阅《*AWS Network Firewall 开发者指南》 AWS Network Firewall*[中的记录网络流量](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)。
1. 在**策略详细信息**选项卡的**策略规则**部分,选择**编辑**。
1. 要启用和聚合日志,请在**日志配置**下选择一个或多个选项:
+ **启用和聚合流日志**
+ **启用和聚合警报日志**
1. 选择需要将日志传输到哪个 Amazon S3 存储桶。您必须为启用的每种日志类型选择一个存储桶。同一存储桶可以同时用于两种日志类型。
1. (可选)如果您希望将自定义成员账户创建的日志记录替换为策略的日志配置,请选择**覆盖现有日志**配置。
1. 选择**下一步**。
1. 查看您的设置,然后选择**保存**以保存对策略的更改。
**禁用 Network Firewall 策略的日志记录**
1. AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择**安全策略**。
1. 选择要为其禁用日志记录的 Network Firewall 策略。
1. 在**策略详细信息**选项卡的**策略规则**部分,选择**编辑**。
1. 在**日志配置状态**下,取消选择**启用并聚合流日志**和**启用并聚合警报日志**(如果已选中)。
1. 选择**下一步**。
1. 查看您的设置,然后选择**保存**以保存对策略的更改。
# 在 Firewall Manager 使用 Amazon Route 53 Resolver DNS Firewall 策略
本页介绍如何使用 AWS Firewall Manager DNS 防火墙策略来管理 Amazon Route 53 Resolver DNS 防火墙规则组与您的*组织*中的 AWS Organizations亚马逊虚拟私有*VPCs*云之间的关联。您可以将集中控制的规则组应用于整个组织,也可以应用于您的部分账户和 VPCs。
DNS 防火墙为您的出站 DNS 流量提供过滤和监管 VPCs。您可以在 DNS 防火墙规则组中创建可重复使用的过滤规则集合,并将这些规则组与您的规则组相关联 VPCs。当您应用 Firewall Manager 策略时,对于策略范围内的每个账户和 VPC,Firewall Manager 会使用您在 Firewall Manager 策略中指定的关联优先级设置,在策略中的每个 DNS 防火墙规则组与策略范围内的每个 VPC 之间创建关联。
有关使用 DNS 防火墙的信息,请参阅 [Amazon Route 53 开发人员指南](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)中的 [Amazon Route 53 Resolver DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。
以下各节介绍使用 Firewall Manager DNS 防火墙策略的要求,并描述了这些策略的工作方式。有关创建策略的过程,请参阅 [为 Amazon Route 53 解析器 DNS 防火墙创建 AWS Firewall Manager 策略](create-policy.md#creating-firewall-manager-policy-for-dns-firewall)。
**重要**
**您必须启用资源共享。**DNS 防火墙策略在您组织中的账户之间共享 DNS 防火墙规则组。要使此功能起作用,必须使用启用资源共享 AWS Organizations。有关如何启用资源共享的信息,请参阅 [Network Firewall 和 DNS 防火墙策略的资源共享](resource-sharing.md)。
**重要**
**您必须定义 DNS Firewall 规则组。**当您指定新的 DNS 防火墙策略时,您可以如同直接使用 Amazon Route 53 Resolver DNS 防火墙一样定义规则组。您的规则组必须已存在于 Firewall Manager 管理员账户中,才能将其包含在策略中。有关创建 DNS 防火墙规则组的信息,请参阅 [DNS 防火墙规则组和规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)。
**您可以定义优先级最低和最高的规则组关联**
您通过 Firewall Manager DNS 防火墙策略管理的 DNS 防火墙规则组关联包含优先级最低的关联和优先级最高的关联 VPCs。在您的策略配置中,这些规则组显示为第一个和最后一个规则组。
DNS 防火墙按以下顺序筛选 VPC 的 DNS 流量:
1. 第一个规则组,由您在 Firewall Manager DNS Firewall 策略中定义。有效值在 1 到 99 之间。
1. 由个人账户管理员通过 DNS 防火墙关联的 DNS 防火墙规则组。
1. 最后一个规则组,由您在 Firewall Manager DNS Firewall 策略中定义。有效值在 9901 到 10000 之间。
**Firewall Manager 如何命名其创建的规则组关联**
保存 DNS 防火墙策略时,如果您启用了自动修复,Firewall Manager 将在您在策略中提供的规则组和策略范围内的规则组之间创建 DNS 防火墙关联。 VPCs Firewall Manager 通过连接以下值来命名这些关联:
+ 固定字符串,`FMManaged_`。
+ Firewall Manager 策略 ID。这是 Firewall Manager 策略的 AWS 资源 ID。
以下是由 Firewall Manager 管理的防火墙的名称示例:
```
FMManaged_EXAMPLEDNSFirewallPolicyId
```
创建策略后,如果中的帐户所有者 VPCs 覆盖了您的防火墙策略设置或规则组关联,则 Firewall Manager 会将该策略标记为不合规,并尝试提出补救措施。账户所有者可以将其他 DNS 防火墙规则组与 DNS 防火墙策略范围内的规则组相关联。 VPCs 个人账户所有者创建的任何关联都必须在第一个和最后一个规则组关联之间设置优先级。
# 从 Firewall Manager DNS Firewall 策略中删除规则组
**删除规则组**
如需从 Firewall Manager DNS 防火墙策略中删除规则组,必须执行以下步骤:
**重要**
无论您是否还从 DNS 防火墙规则组中删除规则组 VPCs ,从 Firewall Manager DNS 防火墙策略中删除该规则组都会使其对应用该策略的规则组产生影响。删除规则组是一项永久性操作,无法撤消。
1. 从 Firewall Manager DNS Firewall 策略中删除规则组。
1. 取消共享中的规则组。 AWS Resource Access Manager要取消共享自己拥有的规则组,必须从资源共享中将其删除。您可以使用 AWS RAM 控制台或 AWS CLI 执行此操作。有关取消资源共享的信息,请参阅*AWS RAM 用户指南*中的[更新资源共享 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
1. 使用 DNS 防火墙控制台或 AWS CLI 删除规则组。
# 使用 Palo Alto Networks Cloud NGFW for Firewall Manager
Palo Alto Networks Cloud 下一代防火墙 (NGFW) 是一项第三方防火墙服务,您可以将其用于您的策略。 AWS Firewall Manager 使用适用于 Firewall Manager 的 Palo Alto Networks Cloud NGFW,你可以在所有账户中创建和集中部署 Palo Alto Networks Cloud NGFW 资源和规则堆栈。 AWS
要将 Palo Alto Networks Cloud NGFW 与 Firewall Manager 配合使用,你首先要在 Marketplace 上订阅 [Palo Alto Networks Cloud NGFW 即付即用](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i)服务。 AWS 订阅后,您可以在 Palo Alto Networks Cloud NGFW 服务中执行一系列步骤来配置您的账户和 Cloud NGFW 设置。然后,你创建一个 Firewall Manager Cloud FMS 策略,用于集中部署和管理组织中所有账户的 Palo Alto Networks Cloud NGFW 资源和规则。 AWS
有关创建 Firewall Manager 策略的过程,请参阅 [为 Palo Alto Networks Cloud AWS Firewall Manager 制定政策 NGFW](create-policy.md#creating-cloud-ngfw-policy)。有关如何配置和管理适用于 Firewall Manager 的 Palo Alto Networks Cloud NGFW 的信息,请参阅 AWS文档中的 *[Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*。有关支持的 AWS 区域,请参阅 *[Cloud NGFW 以了解 AWS 支持的区域和区域。](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*
# 将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略
Fortigate 云原生防火墙 (CNF) 即服务是一项第三方防火墙服务,您可以将其用于您的策略。 AWS Firewall Manager Fortigate CNF 是下一代防火墙服务,可以帮助您轻松保护云网络和管理安全策略。使用 Fortigate CNF for Firewall Manager,您可以在所有账户中创建和集中部署 Fortigate CNF 资源和策略集。 AWS
要将 Fortigate CNF 与 Firewall Manager 配合使用,您需要先在 Marketplace 上订阅 F [ortigate 云原生防火墙 (CNF)](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) 即服务。 AWS 订阅后,您可以在 Fortigate CNF 服务中执行一系列步骤来配置您的全局策略集和其他设置。然后,您可以创建 Firewall Manager 策略,以便在组织中的所有账户中集中部署和管理 Fortigate CNF 资源。 AWS
有关创建 Fortigate CNF Firewall Manager 策略的过程,请参阅 [为 Fortigate 云原生防火墙 (CNF) 即服务创建 AWS Firewall Manager 策略](create-policy.md#creating-fortigate-cnf-policy)。有关如何配置和管理 Fortigate CNF 从而与 Firewall Manager 配合使用的信息,请参阅 [Fortigate CNF 文档]( https://docs.fortinet.com/product/fortigate-cnf)。
# Network Firewall 和 DNS 防火墙策略的资源共享
要管理 Firewall Manager 网络防火墙和 DNS 防火墙策略,必须启用与 AWS Organizations 中的资源共享 AWS Resource Access Manager。启用该功能后,Firewall Manager 可以在您创建这些策略类型时跨账户地部署保护。
要启用资源共享,请按照 *AWS Resource Access Manager 用户指南*中的[启用与 AWS Organizations的共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)中的说明进行操作。
**资源共享问题**
在使用 AWS RAM 资源共享时,或者在处理需要资源共享的 Firewall Manager 策略时,您可能会遇到资源共享问题。
例如:
+ 当您按照说明启用共享时,在 AWS RAM 控制台中,“**启用与之共享**” 选项显示 AWS Organizations为灰色,不可选择。
+ 当您在 Firewall Manager 中处理需要资源共享的策略时,该策略标记为不合规,并且消息显示资源共享或 AWS RAM 未启用。
如果您遇到资源共享问题,请尝试通过以下过程启用资源共享。
**再次尝试启用资源共享**
+ 使用以下任一选项再次尝试启用共享:
+ (可选)通过 AWS RAM 控制台,按照《*AWS Resource Access Manager 用户指南*》中的 “[启用与共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)” AWS Organizations中的说明进行操作。
+ (选项)使用 AWS RAM API 调用`EnableSharingWithAwsOrganization`。请参阅中的文档[EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)。