**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS Firewall Manager強制 CNF 政策
<a name="getting-started-fms-fortigate-cnf"></a>

Fortigate Cloud Native Firewall (CNF) as a Service 是一種第三方防火牆服務，可用於您的 AWS Firewall Manager 政策。透過 Fortigate CNF for Firewall Manager，您可以在所有 AWS 帳戶中建立並集中部署 Fortigate CNF 資源和政策集。若要使用 AWS Firewall Manager 啟用 Fortigate CNF 政策，請依序執行下列步驟。如需 Fortigate CNF 政策的詳細資訊，請參閱[使用 Fortigate 雲端原生防火牆 (CNF) 做為 Firewall Manager 的服務政策](fortigate-cnf-policies.md)。

**Topics**
+ [步驟 1：完成一般先決條件](#complete-fms-prereq-fortigate-cnf)
+ [步驟 2：完成 Fortigate CNF 政策先決條件](#complete-prereq-fortigate-cnf)
+ [步驟 3：建立和套用 Fortigate CNF 政策](#get-started-fms-fortigate-cnf-create-policy)

## 步驟 1：完成一般先決條件
<a name="complete-fms-prereq-fortigate-cnf"></a>

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。在繼續下一個步驟之前，請先完成所有先決條件。

## 步驟 2：完成 Fortigate CNF 政策先決條件
<a name="complete-prereq-fortigate-cnf"></a>

您必須完成其他必要步驟，才能使用 Fortigate CNF 政策。[Fortigate 雲端原生防火牆 (CNF) as a Service 政策先決條件](fms-third-party-prerequisites.md#fms-fortigate-cnf-prerequisites) 說明這些步驟。在繼續下一個步驟之前，請先完成所有先決條件。

## 步驟 3：建立和套用 Fortigate CNF 政策
<a name="get-started-fms-fortigate-cnf-create-policy"></a>

完成先決條件後，您可以建立 AWS Firewall Manager Fortigate CNF 政策。

如需 Fortigate CNF 的 Firewall Manager 政策的詳細資訊，請參閱[使用 Fortigate 雲端原生防火牆 (CNF) 做為 Firewall Manager 的服務政策](fortigate-cnf-policies.md)。

**為 Fortigate CNF 建立 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 Fortigate CNF。如果您尚未在 AWS Marketplace 中訂閱 Fortigate CNF 服務，您必須先執行此操作。若要在 AWS Marketplace 中訂閱，請選擇**檢視 AWS Marketplace 詳細資訊**。

1. 針對**部署模型**，選擇**分散式模型**或**集中式模型**。部署模型會決定 Firewall Manager 如何管理政策的端點。使用分散式模型時，防火牆管理員會在政策範圍內的每個 VPC 中維護防火牆端點。使用集中式模型，防火牆管理員會在檢查 VPC 中維護單一端點。

1. 針對**區域**，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立個別的政策。

1. 選擇**下一步**。

1. 在政策組態中，選擇要與此政策建立關聯的 Fortigate CNF 防火牆政策。Fortigate CNF 防火牆政策清單包含與您的 Fortigate CNF 租用戶相關聯的所有 Fortigate CNF 防火牆政策。如需有關建立和管理 Fortigate CNF 防火牆政策的資訊，請參閱 [Fortigate CNF 文件](https://docs.fortinet.com/product/fortigate-cnf)。

1. 選擇**下一步**。

1. 在**設定第三方防火牆端點**下，根據您使用的是分散式還是集中式部署模型來建立防火牆端點，執行下列其中一項作業：
   + 如果您使用此政策的分散式部署模型，請在**可用區域下**選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。
   + 如果您使用此政策的集中式部署模型，請在檢查 VPC **AWS Firewall Manager 組態下的端點**組態中，輸入檢查 VPC 擁有者 AWS 的帳戶 ID，以及檢查 VPC 的 VPC ID。 ****
     + 在**可用區域**下，選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。

1. 選擇**下一步**。

1. 對於**政策範圍**，**AWS 帳戶 在此政策下適用於** ，選擇選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

   Fortigate CNF 政策**的資源類型**為 **VPC**。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 針對**授予跨帳戶存取權**，選擇**下載 CloudFormation 範本**。這會下載範本 CloudFormation ，供您用來建立 CloudFormation 堆疊。此堆疊會建立 AWS Identity and Access Management 角色，授予 Firewall Manager 跨帳戶許可來管理 Fortigate CNF 資源。如需堆疊的相關資訊，請參閱*CloudFormation 《 使用者指南*》中的[使用堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)。若要建立堆疊，您將需要來自 Fortigate CNF 入口網站的帳戶 ID。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   請務必確定 **Policy action (政策動作)** 已設為 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源，但不要自動修補。)**。這可讓您檢閱政策在啟用變更之前所做的變更。

1. 當您滿意時，選擇 **建立政策**。

   在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

如需 Firewall Manager Fortigate CNF 政策的詳細資訊，請參閱[使用 Fortigate 雲端原生防火牆 (CNF) 做為 Firewall Manager 的服務政策](fortigate-cnf-policies.md)。