选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

设置 AWS Firewall Manager Amazon VPC 网络 ACL 策略

PDF
RSS
聚焦模式
设置 AWS Firewall Manager Amazon VPC 网络 ACL 策略 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
步骤 1:完成先决条件步骤 2:创建网络 ACL 策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Firewall Manager 要使用 ACLs 在整个组织中启用网络,请按顺序执行本节中的步骤。

有关网络的信息 ACLs,请参阅 Amazon VPC 用户指南 ACLs中的使用网络控制子网流量

步骤 1:完成先决条件

为 AWS Firewall Manager准备您的账户有几个必要步骤。AWS Firewall Manager 先决条件中介绍了这些步骤。在继续执行步骤 2:创建网络 ACL 策略之前,请完成所有先决条件。

步骤 2:创建网络 ACL 策略

完成先决条件后,您将创建一个 Firewall Manager 网络 ACL 策略。网络 ACL 策略为您的整个 AWS 组织提供集中控制的网络 ACL 定义。它还定义了网络 ACL 适用的 AWS 账户 和子网。

有关 Firewall Manager 网络 ACL 策略的信息,请参阅 网络 ACL 策略

有关 Firewall Manager 网络 ACL 策略的一般信息,请参阅 网络 ACL 策略

注意

在本教程中,您不将网络 ACL 应用到组织中的子网。您将仅创建策略,并查看将策略的网络 ACL 应用到子网时会发生什么情况。您可以通过在策略上禁用自动修复来执行此操作。

创建 Firewall Manager 网络 ACL 策略(控制台)

  1. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件

  2. 在导航窗格中,选择 安全策略

  3. 如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建网络 ACL 策略。

  4. 选择创建策略

  5. 在 “区域” 中,选择一个 AWS 区域。

  6. 对于策略类型,请选择网络 ACL

  7. 选择下一步

  8. 对于策略名称,请键入策略的描述性名称。

  9. 对于网络 ACL 策略规则,定义针对入站和出站流量的第一个和最后一个规则。

    您在 Firewall Manager 中定义网络 ACL 规则与通过 Amazon VPC 进行定义的方式类似。唯一的区别是您不用自己分配规则编号,而是指定每组规则的运行顺序,然后 Firewall Manager 在您保存策略时为您分配规则编号。您最多可以定义 5 条入站规则,它们以任意方式划分到第一条和最后一条规则之间,您最多可以定义 5 条出站规则。

    有关指定网络 ACL 规则的指南,请参阅《Amazon VPC 用户指南》中的添加和删除网络 ACL 规则

    您在 Firewall Manager 策略中定义的规则指定了网络 ACL 为符合网络 ACL 策略而必须具备的最低规则配置。例如,网络 ACL 的入站规则必须以策略的入站第一条规则开始,并符合策略中指定的顺序,否则就不符合策略的要求。有关更多信息,请参阅 网络 ACL 策略

  10. 对于 策略操作,请选择 确定不符合策略规则的资源,但不自动修复

  11. 选择下一步

  12. AWS 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户

    网络 ACL 策略的资源类型始终是子网。

  13. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 AWS Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  14. 选择下一步

  15. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  16. 选择下一步

  17. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  18. 若您满意所创建的策略,请选择 创建策略

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

  19. 在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、删除清除此策略创建的资源,最后选择删除

有关 Firewall Manager 网络 ACL 策略的更多信息,请参阅 网络 ACL 策略

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。