**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Firewall Manager 先决条件
<a name="fms-prereq"></a>

本主题向您展示如何做好管理准备 AWS Firewall Manager。您可以使用一个 Firewall Manager 管理员账户在 中 AWS Organizations中管理组织的所有 Firewall Manager 安全策略。除非另有说明，否则请使用您将用作 Firewall Manager 管理员的账户执行先决步骤。

在首次使用 Firewall Manager 之前，请按顺序执行以下步骤。

**Topics**
+ [加入并配置使用 Fire AWS Organizations wall Manager](join-aws-orgs.md)
+ [创建 AWS Firewall Manager 默认管理员帐户](enable-integration.md)
+ [启用使用 F AWS Config irewall Manager](enable-config.md)
+ [在 AWS Marketplace 中订阅并为 Firewall Manager 第三方策略配置第三方设置](fms-third-party-prerequisites.md)
+ [启用 Network Firewall 和 DNS 防火墙策略的资源共享 AWS RAM](enable-ram.md)
+ [AWS Firewall Manager 在默认禁用的区域中使用](enable-disabled-region.md)

# 加入并配置使用 Fire AWS Organizations wall Manager
<a name="join-aws-orgs"></a>

要使用 Firewall Manager，您的账户必须是您要使用 Firewall Manager 策略的 AWS Organizations 服务中的组织成员。

**注意**  
有关 Organizations 的信息，请参阅 [AWS Organizations 用户指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

**建立所需的成员 AWS Organizations 资格和配置**

1. 在“组织”中选择一个账户作为该组织的 Firewall Manager 管理员。

1. 如果您选择的账户还不是该组织的成员，请将其加入。按照[邀请加入您的组织中的指导 AWS 账户 进行](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)操作。

1. AWS Organizations 有两个可用的功能集：*整合账单功能*和*所有功能*。要使用 Firewall Manager，您的组织必须启用所有功能。如果仅针对整合账单配置了您的组织，请遵循[启用组织中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)中的指导。

# 创建 AWS Firewall Manager 默认管理员帐户
<a name="enable-integration"></a>

本页提供创建 AWS Firewall Manager 默认管理员帐户的说明。

**注意**  
此过程使用您在上一步中选择和配置的账户和组织。

只有组织的管理账户可以作为 Firewall Manager 默认管理员账户。您创建的第一个管理员账户是*默认管理员*账户。默认管理员账户可以管理第三方防火墙，并且具有完整的管理范围。设置默认管理员帐户时，Firewall Manager 会自动将其设置为防火墙管理器的 AWS Organizations 委派管理员。这允许 Firewall Manager 访问有关组织中组织单位 (OUs) 的信息。您可以使用 OUs 来指定 Firewall Manager 策略的范围。有关设置策略作用域的更多信息，请参阅 [创建 AWS Firewall Manager 策略](create-policy.md) 下针对各个策略类型的指南。有关 Organizations [和管理账户的更多信息，请参阅管理组织中的 AWS 账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。

**组织管理账户的必要设置**  
组织管理账户必须具有以下设置才能将组织加入 Firewall Manager 并创建默认管理员：
+ 它必须是您要在 AWS Organizations 其中应用 Firewall Manager 策略的组织的成员。

**设置默认管理员账户（控制台）**

1.  AWS 管理控制台 使用现有 AWS Organizations 管理帐户登录 Firewall Manager。

1. 通过以下网址打开 Firewall Manager 控制台：[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。

1. 在导航窗格中，选择 **设置**。

1. 键入 AWS 您选择用作 Firewall Manager 管理员的帐户的帐户 ID。
**注意**  
默认管理员具有完全管理范围。完全管理范围意味着此帐户可以将策略应用于组织内的所有帐户和组织单位 (OUs)，在所有区域采取行动，并管理所有 Firewall Manager 策略类型。

1. 选择**创建管理员账户**以创建该账户。

有关管理 Firewall Manager 管理员账户的更多信息，请参阅 [使用 AWS Firewall Manager 管理员](fms-administrators.md)。

# 启用使用 F AWS Config irewall Manager
<a name="enable-config"></a>

要使用 Firewall Manager，必须启用 AWS Config。

**注意**  
根据 AWS Config 定价，您的 AWS Config 设置会产生费用。有关更多信息，请参阅[入门 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

**注意**  
为了让 Firewall Manager 监控策略合规性， AWS Config 必须持续记录受保护资源的配置更改。在您的 AWS Config 配置中，必须将录制频率设置为 “**连续**”，这是默认设置。

**为 Firewall AWS Config Manager 启用**

1.  AWS Config 为每个 AWS Organizations 成员帐户启用，包括 Firewall Manager 管理员帐户。有关更多信息，请参阅[入门 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

1.  AWS Config 为 AWS 区域 包含您要保护的资源的每个资源启用该选项。您可以 AWS Config 手动启用，也可以使用[AWS CloudFormation StackSets 示例 CloudFormation 模板中的 “启用 AWS Config” 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)。

   如果您不想 AWS Config 为所有资源启用，则必须根据所使用的 Firewall Manager 策略类型启用以下选项：
   + **WAF 策略** — 为资源类型启用 Config： CloudFront 分发、Application Load Balancer（从列表中选择 **ElasticLoadBalancingV2**）、API Gateway、WAF WebACL、WAF 区域 WebACL 和 WebACL。 WAFv2 AWS Config 要启用保护 CloudFront 分配，您必须位于美国东部（弗吉尼亚北部）区域。其他地区没有 CloudFront 选项。
   + **Shield 策略** — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 WebACL 等资源类型启用配置。 WAFv2 
   + **安全组策略** — 为 EC2 SecurityGroup、EC2 实例和 EC2 资源类型启用 Config NetworkInterface。
   + **网络 ACL 策略**：为 Amazon EC2 子网和 Amazon EC2 网络 ACL 资源类型启用“配置”。
   + N@@ **etwork Firewall 策略** — 为资源类型 NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup、EC2 VPC、EC2 InternetGateway RouteTable、EC2 和 EC2 子网启用配置。
   + **DNS 防火墙策略** — 为 EC2 VPC 和 Amazon Route 53 的资源类型启用 Config FirewallRuleGroupAssociation。
   + **第三方防火墙策略** — 为亚马逊 EC2 VPC、亚马逊 EC2、亚马逊 EC2、Amazon EC InternetGateway 2 RouteTable 子网和亚马逊 EC2 资源类型启用 Config VPCEndpoint。
**注意**  
如果您将 AWS Config 记录器配置为使用自定义 IAM 角色，则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限，则可能无法记录所需的资源，这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 AWS Config，请参阅[适用于 IAM](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html) 的信息 AWS Config。

# 在 AWS Marketplace 中订阅并为 Firewall Manager 第三方策略配置第三方设置
<a name="fms-third-party-prerequisites"></a>

要设置 Firewall Manager 第三方防火墙策略，请完成以下先决条件。

## Fortigate 云原生防火墙 (CNF) 即服务策略先决条件
<a name="fms-fortigate-cnf-prerequisites"></a>

**使用 Fortigate CNF for Firewall Manager**

1. 在 Marketplace 上订阅 F [ortigate 云原生防火墙 (CNF) 即服务](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i)服务。 AWS 

1. 首先，在 Fortigate CNF 产品门户网站上注册租户。然后在 Fortigate CNF 产品门户网站上的租户下添加您的 Firewall Manager 管理员账户。有关更多信息，请参阅 [Fortigate CNF 文档](https://docs.fortinet.com/product/fortigate-cnf)。

有关使用 Fortigate CNF 策略的信息，请参阅 [将 Fortigate 云原生防火墙 (CNF) 用作 Firewall Manager 服务策略](fortigate-cnf-policies.md)。

## Palo Alto Networks 云下一代防火墙策略先决条件
<a name="fms-cloud-ngfw-prerequisites"></a>

**要使用 Palo Alto Networks Cloud NGFW for Firewall Manager**

1. 在 Marketplace 上订阅 [Palo Alto Networks Cloud 下一代防火墙即用即付服务](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i)。 AWS 

1. 完成 “部署帕洛阿尔托网络云 NGFW” 中列出的[帕洛阿尔托网络云 NGFW 部署](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)步骤， AWS Firewall Manager主题见*帕洛阿尔托网络云*下一代防火墙部署指南。 AWS AWS 

有关如何使用 Palo Alto Networks Cloud NGFW 策略的信息，请参阅 [使用 Palo Alto Networks Cloud NGFW for Firewall Manager](cloud-ngfw-policies.md)。

# 启用 Network Firewall 和 DNS 防火墙策略的资源共享 AWS RAM
<a name="enable-ram"></a>

要管理 Firewall Manager 网络防火墙和 DNS 防火墙策略，必须启用与 AWS Organizations 中的共享 AWS Resource Access Manager。启用该功能后，Firewall Manager 可以在您创建这些策略类型时跨账户地部署保护。

**启用与 AWS Organizations 中的共享 AWS Resource Access Manager**
+ 按照 *AWS Resource Access Manager 用户指南*中[启用与 AWS Organizations共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)的指导进行操作。

如果您在资源共享方面遇到问题，请参阅 [Network Firewall 和 DNS 防火墙策略的资源共享](resource-sharing.md) 中的指南。

# AWS Firewall Manager 在默认禁用的区域中使用
<a name="enable-disabled-region"></a>

要在默认禁用的区域中使用 Firewall Manager，必须同时为 AWS 组织的管理帐户和 Firewall Manager 的默认管理员帐户启用该区域。有关默认禁用区域以及如何启用这些区域的信息，请参阅 *AWS 一般参考*中的[管理 AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。

**启用或禁用区域**
+ 对于组织管理账户和 Firewall Manager 默认管理员账户，请按照 *AWS 一般参考*中[启用区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)的指导进行操作。

完成这些步骤后，您可以配置 Firewall Manager 以开始保护您的资源。有关更多信息，请参阅 [设置 AWS Firewall Manager AWS WAF 策略](getting-started-fms.md)。