本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置 AWS Firewall Manager Palo Alto Networks Cloud 下一代防火墙策略
AWS Firewall Manager 要使用启用 Palo Alto Networks Cloud 下一代防火墙 (NGFW) 策略,请按顺序执行以下步骤。有关 Palo Alto Networks Cloud NGFW 策略的信息,请参阅 使用 Palo Alto Networks Cloud NGFW for Firewall Manager。
主题
步骤 1:完成一般先决条件
为 AWS Firewall Manager准备您的账户有几个必要步骤。AWS Firewall Manager 先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。
步骤 2:完成 Palo Alto Networks Cloud NGFW 策略先决条件
要使用 Palo Alto Networks Cloud NGFW 策略,您还必须完成几个额外的强制性步骤。Palo Alto Networks 云下一代防火墙策略先决条件中介绍了这些步骤。在继续执行下一步之前,请完成所有先决条件。
步骤 3:创建并应用 Palo Alto Networks Cloud NGFW 策略
完成先决条件后,您将创建 AWS Firewall Manager Palo Alto Networks Cloud NGFW 策略。
有关 Palo Alto Networks Cloud NGFW 的 Firewall Manager 策略的更多信息,请参阅 使用 Palo Alto Networks Cloud NGFW for Firewall Manager。
要为 Palo Alto Networks Cloud NGFW(控制台)创建 Firewall Manager 策略
-
AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件。
-
在导航窗格中,选择 安全策略。
-
选择创建策略。
-
对于策略类型,请选择 Palo Alto Networks Cloud NGFW。如果你还没有在 Marketplace 上订阅 Palo Alto N AWS etworks Cloud NGFW 服务,则需要先订阅。要在 AWS Marketplace 上订阅,请选择 “查看 AWS 商城详情”。
对于部署模型,选择分布式模型或集中式模型。部署模型决定了 Firewall Manager 如何管理策略的端点。采用分布式模式,Firewall Manager 在策略作用域内的每个 VPC 中维护防火墙端点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个端点。
-
对于区域,选择一个 AWS 区域。为了保护多个区域中的资源,您必须为每个区域创建单独的策略。
-
选择下一步。
-
对于策略名称,请键入策略的描述性名称。
-
在策略配置中,选择要与此策略关联的 Palo Alto Networks Cloud NGFW 防火墙策略。Palo Alto Networks Cloud NGFW 防火墙策略列表包含与您的 Palo Alto Networks Cloud NGFW 租户关联的所有 Palo Alto Networks Cloud NGFW 防火墙策略。有关创建和管理 Palo Alto Networks Cloud NGFW 防火墙策略的信息,请参阅 Deplo y Palo Alto Networks Cloud NGFW 的 NGFW 部署
指南中的 AWS Firewall Manager主题。 AWS AWS -
对于 Palo Alto Networks Cloud NGFW 日志记录(可选),可以选择为您的策略记录哪种 Palo Alto Networks Cloud NGFW 日志类型。有关 Palo Alto Networks Cloud NGFW 日志类型的信息,请参阅《帕洛阿尔托网络云 NGFW 部署指南》 AWS中的 “为帕洛阿尔托网络云 NGFW 配置日志记录
”。 AWS 对于日志记录目标,指定 Firewall Manager 何时应写入日志。
-
选择下一步。
-
在配置第三方防火墙端点下,根据创建防火墙端点的部署模型(分布式部署模型或集中式部署模型)执行以下操作之一:
-
如果您为此策略使用分布式部署模型,请在可用区下选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。
-
如果您使用此策略的集中式部署模型,请在检查 VPC 配置下的 AWS Firewall Manager 端点配置中输入检查 VPC 所有者的 AWS 账户 ID 和检查 VPC 的 VPC ID。
-
在可用区下,选择要在其中创建防火墙端点的可用区。您可以按可用区名称或可用区 ID 选择可用区。
-
-
-
选择下一步。
-
对于策略作用域,在 AWS 账户 本策略适用于下,选择以下选项:
-
如果要将该政策应用于组织中的所有账户,请保留默认选项 “包括我的 AWS 组织下的所有账户”。
-
如果您只想将策略应用于特定帐户或特定 AWS Organizations 组织单位中的帐户(OUs),请选择 “仅包括指定的帐户和组织单位”,然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
-
如果要将该策略应用于除一组特定的账户或 AWS Organizations 组织单位以外的所有账户或组织单位 (OUs),请选择排除指定的账户和组织单位,并包括所有其他账户和组织单位 OUs ,然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs,包括任何子账户 OUs 和稍后添加的帐户。
您只能选择其中一个选项。
应用策略后,Firewall Manager 会根据您的设置自动评估任何新账户。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。再举一个例子,如果您包含一个 OU,则在向 OU 或其任何子级添加帐户时OUs,Firewall Manager 会自动将策略应用于新帐户。
Network Firewall 策略的资源类型是 VPC。
-
-
对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 AWS Firewall Manager 策略范围。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
-
对于授予跨账户存取权限,请选择下载 AWS CloudFormation 模板。这将下载一个可用于创建 AWS CloudFormation 堆栈的 AWS CloudFormation 模板。此堆栈创建了一个 AWS Identity and Access Management 角色,该角色授予 Firewall Manager 跨账户管理帕洛阿尔托网络云 NGFW 资源的权限。有关堆栈的信息,请参阅 AWS CloudFormation 用户指南中的使用堆栈。
-
选择下一步。
-
对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。
-
若您满意所创建的策略,请选择 创建策略。
AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息
有关 Palo Alto Networks Cloud NGFW 的 Firewall Manager 策略的更多信息,请参阅 使用 Palo Alto Networks Cloud NGFW for Firewall Manager。
