**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 AWS Firewall Manager AWS WAF 策略
<a name="getting-started-fms"></a>

 AWS Firewall Manager 要使用在整个组织中启用 AWS WAF 规则，请按顺序执行以下步骤。

**Topics**
+ [步骤 1：完成先决条件](#complete-prereq)
+ [步骤 2：创建和应用 AWS WAF 策略](#get-started-fms-create-security-policy)
+ [步骤 3：清理](#clean-up)

## 步骤 1：完成先决条件
<a name="complete-prereq"></a>

为 AWS Firewall Manager准备您的账户有几个必要步骤。[AWS Firewall Manager 先决条件](fms-prereq.md) 中介绍了这些步骤。在继续执行[步骤 2：创建和应用 AWS WAF 策略](#get-started-fms-create-security-policy)之前，请先满足所有先决条件。

## 步骤 2：创建和应用 AWS WAF 策略
<a name="get-started-fms-create-security-policy"></a>

Firewall Manager AWS WAF 策略包含要应用于资源的规则组。Firewall Manager 会在您应用策略的每个账户中创建一个 Firewall Manager web ACL。除了您在此处定义的规则组之外，各个客户经理还可以向生成的 web ACL 中添加规则和规则组。有关 Firewall Manager AWS WAF 策略的信息，请参见[在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。

**创建 Firewall Manager AWS WAF 策略（控制台）**

 AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录，然后打开防火墙管理器控制台，网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息，请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。

1. 在导航窗格中，选择 **安全策略**。

1. 选择**创建策略**。

1. 对于 **策略类型**，选择 **AWS WAF**。

1. 对于**区域**，选择一个 AWS 区域。要保护 Amazon 的 CloudFront配送，请选择 “**全球**”。

   要保护多个区域（ CloudFront 分布除外）中的资源，必须为每个区域创建单独的 Firewall Manager 策略。

1. 选择**下一步**。

1. 对于**策略名称**，请键入策略的描述性名称。Firewall Manager 在其管理的网络 ACLs 名称中包含策略名称。web ACL 名称中包括 `FMManagedWebACLV2-`，后接您在此处输入的策略名称、`-`，以及 web ACL 创建时间戳（以 UTC 毫秒为单位）。例如 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。
**重要**  
Web ACL 名称在创建后无法更改。如果您更新策略的名称，Firewall Manager 将不会更新关联的 web ACL 名称。要让 Firewall Manager 创建具有不同名称的 web ACL，您必须创建新的策略。

1. 在 **策略规则** 下的 **最先运行的规则组** 中，选择 **添加规则组**。展开 **AWS 托管规则组**。对于 **核心规则集**，切换 **添加到 web ACL**。对于 **AWS 已知不良输入**，请切换**添加到 web ACL**。选择 **添加规则**。

   对于 **最后运行的规则组**，请选择 **添加规则组**。展开 **AWS 托管规则组**，对于 **Amazon IP 声誉列表**，切换**添加到 web ACL**。选择**添加规则**。

   在 “**第一个规则组**” 下，选择 “**核心规则集**”，然后选择 “**向下移动**”。 AWS WAF 先根据**AWS 已知的错误输入**规则组评估 Web 请求，然后再根据**核心规则**集进行评估。

   如果需要，您也可以使用 AWS WAF 控制台创建自己的 AWS WAF 规则组。您创建的任何规则组都将显示在**描述策略：添加规则组**页面的**您的规则组**下。

   您通过 Firewall Manager 管理的第一个和最后一个 AWS WAF 规则组的名称分别以`PREFMManaged-`或`POSTFMManaged-`开头，后跟防火墙管理器策略名称和规则组创建时间戳（以 UTC 毫秒为单位）。例如 `PREFMManaged-MyWAFPolicyName-1621880555123`。

1. 将 web ACL 的默认操作保留为 **允许**。

1. 将 **策略操作** 保留为默认状态，以便不会自动修复不合规的资源。您随后可以更改此选项。

1. 选择**下一步**。

1. 对于 **策略范围**，您可以提供用于标识要应用策略的资源的账户、资源类型和标签设置。在本教程中，请保留 **AWS 账户** 和**资源**的默认设置，然后选择一种或多种资源类型。

1. 对于**资源**，可以使用标签来缩小策略的范围，您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”，但两者不能同时使用。有关定义策略范围的标签的更多信息，请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。

   资源标签只能有非空值。如果忽略标签的值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

1. 选择**下一步**。

1. 对于**策略标签**，请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息，请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 选择**下一步**。

1. 查看新的政策设置，然后返回需要进行任何调整的页面。

   进行检查以确保**策略操作**设置为**确定不符合策略规则的资源，但不自动修复**。这样，您就可以在启用更改之前查看策略要做出的更改。

1. 若您满意所创建的策略，请选择**创建策略**。

   **AWS Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**，并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)

## 步骤 3：清理
<a name="clean-up"></a>

为了避免产生不必要的费用，请删除任何非必要的策略和资源。

**删除策略（控制台）**

1. 在 **AWS Firewall Manager 策略** 页面上，选择策略名称旁边的单选按钮，然后选择**删除**。

1. 在 **删除** 确认框中，选择 **删除所有策略资源**，然后再次选择 **删除**。

   AWS WAF 移除该政策及其在您的账户中创建的所有关联资源 ACLs，例如网页。更改可能需要几分钟才能传播到所有账户。