**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Firewall Manager 托管列表
本节介绍了什么是托管列表及其使用方法。
托管应用程序和协议列表简化了 AWS Firewall Manager 内容审核安全组策略的配置和管理。您可以使用托管列表来定义您的策略允许和不允许的协议与应用程序。有关内容审核安全组策略的信息,请参阅 [使用 Firewall Manager 内容审核安全组策略](security-group-policies-audit.md)。
您可以在内容审核安全组策略中使用以下类型的托管列表:
+ **Firewall Manager 应用程序列表和协议列表**:这些列表由 Firewall Manager 管理。
+ 应用程序列表包括 `FMS-Default-Public-Access-Apps-Allowed` 和 `FMS-Default-Public-Access-Apps-Denied`,它们描述了应允许或拒绝向公众开放的常用应用程序。
+ 协议列表 `FMS-Default-Protocols-Allowed` 包括应允许公众使用的常用协议列表。您可以使用 Firewall Manager 管理的任何列表,但不能对其进行编辑或删除。
+ **自定义应用程序列表和协议列表** – 这些列表由您管理。您可以使用所需的设置创建任一类型的列表。您可以完全控制自己的自定义托管列表,也可以根据需要创建、编辑和删除它们。
**注意**
目前,当您删除自定义托管列表时,Firewall Manager 不会检查对它的引用。这意味着,即使处于活动状态的策略正在使用自定义托管应用程序列表或协议列表,您也可以将其删除。但该操作可能导致策略停止运行。因此,在确认任何有效策略均未引用应用程序列表或协议列表之后,才可将其删除。
托管列表是 AWS 资源。您可以为自定义托管列表添加标签。您无法为 Firewall Manager 托管列表添加标签。
## 托管列表版本控制
自定义托管列表没有版本。编辑自定义列表时,引用该列表的策略会自动使用更新的列表。
Firewall Manager 托管列表已进行版本控制。Firewall Manager 服务团队根据需要发布新版本,以便将最佳安全实践应用于列表。
在策略中使用 Firewall Manager 托管列表时,您可以按如下方式选择版本控制策略:
+ **最新可用版本** – 如果您没有为列表指定明确的版本设置,则您的策略将自动使用最新版本。这是控制台中唯一可用的选项。
+ **显式版本** – 如果您为列表指定版本,则您的策略将使用该版本。在您修改版本设置之前,您的策略将一直锁定在您指定的版本。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDKs。
有关为列表选择版本设置的更多信息,请参阅 [在内容审核安全组策略中使用托管列表](#using-managed-lists)。
## 在内容审核安全组策略中使用托管列表
创建内容审核安全组策略时,可以选择使用托管审核策略规则。此选项的某些设置需要托管应用程序列表或协议列表。这些设置的示例包括安全组规则中允许的协议以及可以访问互联网的应用程序。
以下限制适用于使用托管列表的每个策略设置:
+ 对于任何设置,最多可以指定一个 Firewall Manager 托管列表。默认情况下,您最多可以指定一个自定义列表。自定义列表限制是软限额,因此您可以申请增加该限额。有关更多信息,请参阅 [AWS Firewall Manager 配额](fms-limits.md)。
+ 在控制台中,如果您选择 Firewall Manager 托管列表,则无法指定版本。该策略将始终使用最新版本的列表。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDKs。有关 Firewall Manager 托管列表版本控制的信息,请参阅 [托管列表版本控制](#versioning-managed-lists)。
有关通过控制台创建内容审核安全组策略的信息,请参阅 [创建内容审核安全组策略](create-policy.md#creating-firewall-manager-policy-audit-security-group)。