設定 AWS Firewall Manager AWS Network Firewall 政策 - AWS WAF AWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管
步驟 1:完成先決條件步驟 2:建立要在政策中使用的 Network Firewall 規則群組步驟 3:建立和套用 Network Firewall 政策

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用 主控台

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Firewall Manager AWS Network Firewall 政策

若要使用 AWS Firewall Manager 在整個組織中啟用 AWS Network Firewall 防火牆,請依序執行下列步驟。如需 Firewall Manager Network Firewall 政策的詳細資訊,請參閱 在 Firewall Manager 中使用 AWS Network Firewall 政策

步驟 1:完成先決條件

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。AWS Firewall Manager 先決條件 說明這些步驟。在繼續下一個步驟之前,請先完成所有先決條件。

步驟 2:建立要在政策中使用的 Network Firewall 規則群組

若要遵循本教學課程,您應該熟悉 AWS Network Firewall 並了解如何設定其規則群組和防火牆政策。

您必須在 Network Firewall 中至少有一個規則群組將用於您的 AWS Firewall Manager 政策。如果您尚未在 Network Firewall 中建立規則群組,請現在執行此操作。如需有關使用 Network Firewall 的資訊,請參閱 AWS Network Firewall 開發人員指南

步驟 3:建立和套用 Network Firewall 政策

完成先決條件後,您可以建立 AWS Firewall Manager Network Firewall 政策。Network Firewall 政策為您的整個 AWS 組織提供集中控制的 AWS Network Firewall 防火牆。它也會定義防火牆套用的 AWS 帳戶 和資源。

如需 Firewall Manager 如何管理 Network Firewall 政策的詳細資訊,請參閱 在 Firewall Manager 中使用 AWS Network Firewall 政策

建立 Firewall Manager 網路防火牆政策 (主控台)

  1. AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 如果您尚未符合先決條件,主控台會顯示如何修正任何問題的指示。遵循指示,然後返回此步驟來建立 Network Firewall 政策。

  4. 選擇建立安全政策

  5. 針對政策類型,選擇 AWS Network Firewall

  6. 針對區域,選擇 AWS 區域。

  7. 選擇下一步

  8. 針對政策名稱,輸入描述性名稱。

  9. 政策組態可讓您定義防火牆政策。這與您在 AWS Network Firewall 主控台中使用的程序相同。您可以新增要在政策中使用的規則群組,並提供預設的無狀態動作。在本教學課程中,將此政策設定為 Network Firewall 中的防火牆政策。

    注意

    AWS Firewall Manager Network Firewall 政策會自動進行自動修復,因此您不會在此處看到選擇不自動修復的選項。

  10. 選擇下一步

  11. 針對防火牆端點,選擇多個防火牆端點。此選項為您的防火牆提供高可用性。當您建立政策時,防火牆管理員會在您擁有要保護之公有子網路的每個可用區域中建立防火牆子網路。

  12. 針對AWS Network Firewall 路由組態,選擇監控,讓 Firewall Manager 監控您的 VPCs是否有路由組態違規,並提醒您修復建議,以協助您使路由符合規範。或者,如果您不想讓 Firewall Manager 監控您的路由組態並接收這些提醒,請選擇關閉

    注意

    監控可為您提供因路由組態錯誤而產生之不合規資源的詳細資訊,並從 Firewall Manager GetViolationDetails API 建議修補動作。例如,如果流量未透過政策建立的防火牆端點路由,Network Firewall 會提醒您。

    警告

    如果您選擇監控,則無法在未來針對相同的政策將其變更為關閉。您必須建立新的政策。

  13. 針對流量類型,選取新增至防火牆政策,以透過網際網路閘道路由流量。

  14. AWS 帳戶 受此政策影響的 可讓您透過指定要包含或排除的帳戶來縮小政策的範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

    Network Firewall 政策的資源類型一律為 VPC

  15. 對於資源,您可以使用標記來縮小政策的範圍,方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除,但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊,請參閱 使用 AWS Firewall Manager 政策範圍

    資源標籤只能有非空值。如果您省略標籤的值, Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

  16. 選擇下一步

  17. 針對政策標籤,新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  18. 選擇下一步

  19. 檢閱新的政策設定,並返回您需要進行任何調整的任何頁面。

    請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您檢閱政策在啟用變更之前所做的變更。

  20. 當您滿意時,選擇 建立政策

    AWS Firewall Manager 政策窗格中,應該列出您的政策。它可能會在帳戶標題下指出待定,並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 政策的合規資訊

  21. 當您完成探索時,如果您不想保留為此教學課程建立的政策,請選擇政策名稱、選擇刪除、選擇清除此政策建立的資源,最後選擇刪除

如需 Firewall Manager Network Firewall 政策的詳細資訊,請參閱 在 Firewall Manager 中使用 AWS Network Firewall 政策