设置 AWS Firewall ManagerAWS WAF 策略 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
步骤 1:完成先决条件步骤 2:创建并应用 AWS WAF 策略步骤 3:清理

设置 AWS Firewall ManagerAWS WAF 策略

若要使用 AWS Firewall Manager 在整个组织内启用 AWS WAF 规则,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 AWS Firewall Manager 准备您的账户有几个必要步骤。AWS Firewall Manager先决条件中介绍了这些步骤。在继续执行步骤 2:创建并应用 AWS WAF 策略之前,请先满足所有先决条件。

步骤 2:创建并应用 AWS WAF 策略

Firewall Manager AWS WAF 策略包含您要应用于资源的规则组。Firewall Manager 会在您应用策略的每个账户中创建一个 Firewall Manager Web ACL。除了您在此处定义的规则组之外,各个客户经理还可以向生成的 Web ACL 中添加规则和规则组。有关 Firewall Manager AWS WAF 策略的信息,请参阅 将 AWS WAF 与 Firewall Manager 配合使用

创建 Firewall Manager AWS WAF 策略(控制台)

使用您的 Firewall Manager 管理员账户登录 AWS Management Console,然后通过以下网址打开 Firewall Manager 控制台:https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager先决条件

  1. 在导航窗格中,选择 安全策略

  2. 选择创建策略

  3. 对于 策略类型,选择 AWS WAF

  4. 对于区域,选择一个 AWS 区域。要保护 Amazon CloudFront 分配,请选择全球

    若要保护多个区域中的资源(而不是 CloudFront 分配),您必须为每个区域创建单独的 Firewall Manager 策略。

  5. 选择下一步

  6. 对于策略名称,请键入策略的描述性名称。Firewall Manager 在其管理的 Web ACL 的名称中包含策略名称。Web ACL 名称中包括 FMManagedWebACLV2-,后接您在此处输入的策略名称、-,以及 Web ACL 创建时间戳(以 UTC 毫秒为单位)。例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078

    重要

    Web ACL 名称在创建后无法更改。如果您更新策略的名称,Firewall Manager 将不会更新关联的 Web ACL 名称。要让 Firewall Manager 创建具有不同名称的 Web ACL,您必须创建新的策略。

  7. 策略规则 下的 最先运行的规则组 中,选择 添加规则组。展开 AWS 托管规则组。对于 核心规则集,切换 添加到 Web ACL。对于 AWS 已知不良输入,请切换添加到 Web ACL。选择 添加规则

    对于 最后运行的规则组,请选择 添加规则组。展开 AWS 托管规则组,对于 Amazon IP 声誉列表,切换添加到 Web ACL。选择 添加规则

    最先运行的规则组下,选择核心规则集,然后选择向下移动。AWS WAF 会先根据 AWS 已知不良输入规则组评估 Web 请求,然后再根据核心规则集进行评估。

    如果需要,您还可以使用 AWS WAF 控制台创建自己的 AWS WAF 规则组。您创建的任何规则组都将显示在描述策略:添加规则组页面的您的规则组下。

    您通过 Firewall Manager 管理的第一个和最后一个 AWS WAF 规则组的名称分别以 PREFMManaged-POSTFMManaged- 开头,后接 Firewall Manager 策略名称和规则组创建时间戳(以 UTC 毫秒为单位)。例如,PREFMManaged-MyWAFPolicyName-1621880555123

  8. 将 Web ACL 的默认操作保留为 允许

  9. 策略操作 保留为默认状态,以便不会自动修复不合规的资源。您随后可以更改此选项。

  10. 选择下一步

  11. 对于 策略范围,您可以提供用于标识要应用策略的资源的账户、资源类型和标签设置。在本教程中,请保留 AWS 账户资源的默认设置,然后选择一种或多种资源类型。

  12. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  13. 选择下一步

  14. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  15. 选择下一步

  16. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  17. 若您满意所创建的策略,请选择 创建策略

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 AWS Firewall Manager 策略的合规性信息

步骤 3:清理

为了避免产生不必要的费用,请删除任何非必要的策略和资源。

删除策略 (控制台)

  1. AWS Firewall Manager 策略 页面上,选择策略名称旁边的单选按钮,然后选择删除

  2. 删除 确认框中,选择 删除所有策略资源,然后再次选择 删除

    AWS WAF 会删除策略及其在您的账户中创建的任何关联资源(如 Web ACL)。更改可能需要几分钟才能传播到所有账户。