建立 AWS Firewall Manager 政策

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型，選擇 AWS WAF。

針對區域 ，選擇 AWS 區域。若要保護 Amazon CloudFront 分佈，請選擇全域 。

若要保護多個區域中的資源 （除 CloudFront 分佈之外），您必須為每個區域建立個別的 Firewall Manager 政策。

選擇 Next (下一步)。

針對政策名稱 ，輸入描述性名稱。Firewall Manager 在其ACLs管理的 Web 名稱中包含政策名稱。Web ACL名稱FMManagedWebACLV2-後面跟著您在此處輸入的政策名稱，-以及 Web ACL建立時間戳記，以UTC毫秒為單位。例如：FMManagedWebACLV2-MyWAFPolicyName-1621880374078。

對於 Web 請求主體檢查 ，選擇性地變更主體大小限制。如需內文檢查大小限制的相關資訊，包括定價考量，請參閱 開發人員指南 管理的車身檢查尺寸限制 AWS WAF 中的 。 AWS WAF

在政策規則 下，新增 AWS WAF 要在 Web 中首先評估和最後評估的規則群組ACL。若要使用 AWS WAF 受管規則群組版本控制，請切換啟用版本控制 。個別帳戶管理員可以在第一個規則群組和最後一個規則群組之間新增規則和規則群組。如需在適用於 的 Firewall Manager 政策中使用 AWS WAF 規則群組的詳細資訊 AWS WAF，請參閱 搭配 Firewall Manager 使用 AWS WAF 政策。

（選用） 若要自訂 Web ACL 使用規則群組的方式，請選擇編輯 。以下是常見的自訂設定：

完成設定後，請選擇儲存規則 。

設定 Web 的預設動作ACL。這是當 Web 請求與 Web 中的任何規則不相符時所 AWS WAF採取的動作ACL。您可以使用允許動作新增自訂標頭，或新增封鎖動作的自訂回應。如需預設 Web ACL動作的詳細資訊，請參閱 設定網頁ACL預設動作 AWS WAF。如需有關設定自訂 Web 請求和回應的資訊，請參閱 在中添加自定義的 Web 請求和響應 AWS WAF。

針對記錄組態 ，選擇啟用記錄以開啟記錄。記錄提供有關 Web 分析流量的詳細資訊ACL。選擇記錄目的地 ，然後選擇您設定的記錄目的地。您必須選擇名稱以 開頭的記錄目的地aws-waf-logs-。如需有關設定 AWS WAF 記錄目的地的資訊，請參閱 搭配 Firewall Manager 使用 AWS WAF 政策。

(選用) 如果您不想要特定欄位及其值包含在日誌中，請編寫這些欄位。選擇要編寫的欄位，然後選擇新增。重複其他需要編寫的欄位。在日誌中編寫的欄位顯示為 REDACTED。例如，如果您編輯URI欄位，日誌中的URI欄位將為 REDACTED。

（選用） 如果您不想將所有請求傳送至日誌，請新增篩選條件和行為。在篩選條件日誌 下，針對您要套用的每個篩選條件，選擇新增篩選條件 ，然後選擇篩選條件，並指定是否要保留或捨棄符合條件的請求。當您完成新增篩選條件時，如有需要，請修改預設記錄行為 。如需詳細資訊，請參閱《AWS WAF 開發人員指南》中的 尋找您的網路ACL記錄。

您可以定義權杖網域清單，以在受保護的應用程式之間啟用權杖共用。權杖由 使用 CAPTCHA 以及 Challenge 動作，以及您使用 AWS 受管規則規則群組進行 AWS WAF 詐騙控制帳戶接管預防 SDKs （ATP） 和 AWS WAF Bot Control 時所實作的應用程式整合。

不允許公有字尾。例如，您無法將 gov.au或 co.uk用作權杖網域。

根據預設， 只 AWS WAF 接受受保護資源網域的權杖。如果您在此清單中新增權杖網域， 會 AWS WAF 接受清單中所有網域的權杖，以及相關資源的網域。如需詳細資訊，請參閱《AWS WAF 開發人員指南》中的 AWS WAF Web ACL 令牌域列表配置。

您只能在編輯現有 Web 時變更 Web ACL的 CAPTCHA和 抗擾性時間ACL。您可以在 Firewall Manager 政策詳細資訊頁面下找到這些設定。如需這些設定的資訊，請參閱 設置時間戳到期和令牌免疫時間 AWS WAF。如果您在現有政策中更新關聯組態、、CAPTCHA挑戰或權杖網域清單設定，Firrster Manager 會使用ACLs新值覆寫本機 Web。不過，如果您未更新政策的關聯組態 、CAPTCHA、挑戰 或權杖網域清單設定，則本機 Web 中的值ACLs將保持不變。如需此選項的相關資訊，請參閱 開發人員指南 使用 CAPTCHA 以及 Challenge in AWS WAF 中的 。 AWS WAF

在 Web ACL管理 下，如果您想要 Firewall Manager 管理未關聯的 Web ACLs，請啟用管理未關聯的 Web ACLs。使用此選項時，只有當至少有一個資源ACLs將使用 Web 時，Firriton Manager 才會在政策範圍內的帳戶ACLs中建立 Web。如果帳戶在任何時候進入政策範圍，且至少有一個資源將使用 Web ，則 Firewall Manager 會自動ACL在帳戶中建立 WebACL。啟用此選項後，Firexation Manager 會在您的帳戶ACLs中執行一次未關聯的 Web 清除。清除程序可能需要幾個小時的時間。如果資源在 Firewall Manager 建立 Web 之後離開政策範圍ACL，則 Firewall Manager 會取消資源與 Web 的關聯ACL，但不會清除未關聯的 Web ACL。Firewall Manager 只會在政策ACLs中第一次啟用管理未關聯的 Web ACLs時清除未關聯的 Web。

對於政策動作 ，如果您想要ACL在組織內每個適用的帳戶中建立 Web，但尚未將 Web 套用ACL到任何資源，請選擇識別不符合政策規則的資源，但不要自動修復，也不要選擇管理未關聯的 Web。 ACLs您可以稍後變更這些選項。

如果您要改為自動將政策套用至現有的範圍內資源，請選擇 Auto remediate any noncompliant resources (自動修補任何不合規的資源)。如果停用管理未關聯的 WebACLs，則自動修復任何不合規的資源選項會在組織中ACL每個適用的帳戶中建立 Web，並將 Web ACL與帳戶中的資源建立關聯。如果啟用管理未關聯的 WebACLs，則自動修復任何不合規資源選項只會在具有與 Web 關聯資格的ACL帳戶中建立並關聯 WebACL。

當您選擇自動修復任何不合規的資源 時，您也可以選擇從範圍內的資源中移除現有 Web ACL關聯，該資源ACLs不受其他作用中 Firewall Manager 政策管理。如果您選擇此選項，則 Firewall Manager 會先將政策的 Web ACL與 資源建立關聯，然後移除先前的關聯。如果資源與另一個由不同作用中 Firewall Manager 政策管理ACL的 Web 有關聯，則此選項不會影響該關聯。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

針對 Resource type (資源類型)，請選擇您要保護的資源類型。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firester Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

針對政策標籤 ，將您要新增至 Firewall Manager 政策資源的任何識別標籤新增至 。如需標籤的詳細資訊，請參閱使用標籤編輯器。

選擇 Next (下一步)。

檢閱新的政策設定，並返回任何您需要調整的頁面。

當您滿意時，選擇 建立政策。在AWS Firewall Manager 政策窗格中，應列出您的政策。它可能會指出帳戶標題下的待定，並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱檢視 AWS Firewall Manager 原則的符合性資訊。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對 Policy type (政策類型)，選擇 AWS WAF Classic。

如果您已建立要新增至政策的 AWS WAF Classic 規則群組，請選擇建立 AWS Firewall Manager 政策並新增現有的規則群組 。如果您想要建立新的規則群組，請選擇建立 Firewall Manager 政策並新增新的規則群組 。

針對區域 ，選擇 AWS 區域。若要保護 Amazon CloudFront 資源，請選擇全域 。

若要保護多個區域中的資源 （資源除外 CloudFront ），您必須為每個區域建立個別的 Firewall Manager 政策。

選擇 Next (下一步)。

如果您要建立一個規則群組，則遵循建立 AWS WAF Classic 規則群組的指示。在您建立規則群組，請繼續執行以下步驟。

輸入政策名稱。

如果您要新增現有的規則群組，請使用下拉式功能表選取要新增的規則群組，然後選擇 [新增規則群組]。

政策有兩種動作：規則群組這定的動作和計數。如果您想要測試政策和規則群組，設定動作為計數。這個動作覆寫任何由規則群組中的規則所指定的封鎖動作。也就是說，如果政策的動作是設定為計數，只會計算請求，而不會封鎖請求。反之，如果您設定政策的動作為規則群組設定的動作，則會使用該規則群組規則的動作。選擇適當動作。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firrate Manager 會自動將政策套用至新帳戶。

選擇您要保護的資源類型。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用納入或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

如果您想自動套用政策到現有的資源，請選擇建立和套用此政策到現有的和新的資源。

此選項ACL會在組織中每個適用的帳戶中 AWS 建立 Web，並將 Web ACL與帳戶中的資源建立關聯。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。或者，如果您選擇建立政策，但不將政策套用至現有或新的資源，則 Firewall Manager 會在組織中ACL每個適用的帳戶中建立 Web，但不將 Web 套用至ACL任何資源。之後，您必須將政策套用到資源。選擇適當選項。

對於取代現有的關聯 Web ACLs，您可以選擇移除目前針對範圍內資源定義的任何 Web ACL關聯，然後以您使用此政策建立之 Web ACLs 的關聯取代它們。根據預設，防火牆管理員不會在新增現有 Web ACL關聯之前移除現有 Web 關聯。如果您要移除現有的 Web ACL 關聯，請選擇此選項。

選擇 Next (下一步)。

檢視新政策。若要修改，選擇編輯。當您滿意政策時，選擇 Create and apply policy (建立和套用政策)。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型 ，選擇 Shield Advanced 。

若要建立 Shield Advanced 政策，您必須訂閱 Shield Advanced。如果您未訂閱，系統會提示您訂閱。如需訂閱成本的相關資訊，請參閱AWS Shield Advanced 定價 。

針對區域 ，選擇 AWS 區域。若要保護 Amazon CloudFront 分佈，請選擇全域 。

對於全域 以外的區域選擇，若要保護多個區域中的資源，您必須為每個區域建立單獨的 Firewall Manager 政策。

選擇 Next (下一步)。

對於名稱 ，輸入描述性名稱。

僅針對全球區域政策，您可以選擇是否要管理 Shield Advanced 自動應用程式層DDoS緩解。如需有關此 Shield Advanced 功能的資訊，請參閱 使用 Shield Advanced 自動化應用程式層DDoS緩解 。

您可以選擇啟用或停用自動緩解，也可以選擇忽略它。如果您選擇忽略它，防火牆管理員完全不會管理 Shield Advanced 保護的自動緩解。如需這些政策選項的詳細資訊，請參閱 搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層DDoS緩解。

在 Web ACL管理 下，如果您想要 Firewall Manager 管理未關聯的 Web ACLs，請啟用管理未關聯的 Web ACLs。使用此選項時，只有當至少有一個資源將使用 Web 時，Firriton Manager ACLs才會在政策範圍內的帳戶ACLs中建立 Web。如果帳戶在任何時候進入政策範圍，且至少有一個資源將使用 Web ，則 Firewall Manager 會自動ACL在帳戶中建立 WebACL。啟用此選項後，Firrate Manager 會在您的帳戶ACLs中執行一次未關聯的 Web 清除。清除程序可能需要幾個小時的時間。如果資源在 Firewall Manager 建立 Web 後離開政策範圍ACL，則 Firewall Manager 不會取消資源與 Web 的關聯ACL。若要將 Web 包含在一次性清除ACL中，您必須先手動取消資源與 Web 的關聯，ACL然後啟用管理未關聯的 Web ACLs。

對於政策動作 ，我們建議您使用不會自動修復不合規資源的選項來建立政策。當您停用自動修復時，您可以在套用新政策之前評估其影響。當您滿意變更是您想要的時，請編輯政策並變更政策動作，以啟用自動修復。

如果您要改為自動將政策套用至現有的範圍內資源，請選擇 Auto remediate any noncompliant resources (自動修補任何不合規的資源)。此選項會針對 AWS 組織內每個適用的帳戶和帳戶內每個適用的資源套用 Shield Advanced 保護。

僅針對全球區域政策，如果您選擇自動修復任何不合規的資源，您也可以選擇讓 Firewall Manager 自動將任何現有的 AWS WAF Classic Web ACL關聯取代為使用最新版本 AWS WAF （v2） 建立ACLs的 Web 新關聯。如果您選擇這麼做，則 Firewall Manager ACLs會移除與較早版本 Web 的關聯ACLs，ACLs並在任何尚未擁有政策的範圍內帳戶建立新的空白 Web 之後，建立與最新版本 Web 的新關聯。如需有關此選項的詳細資訊，請參閱 將 AWS WAF Classic Web 取代ACLs為最新版本 Web ACLs。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firrate Manager 會自動將政策套用至新帳戶。

選擇您要保護的資源類型。

Firewall Manager 不支援 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 來保護資源免受這些服務的影響，則無法使用 Firewall Manager 政策。相反地，請遵循 的 Shield Advanced 指南為 AWS 資源新增 AWS Shield Advanced 保護。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用納入或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

對於政策標籤 ，新增任何您要新增至 Firewall Manager 政策資源的識別標籤。如需標籤的詳細資訊，請參閱使用標籤編輯器。

選擇 Next (下一步)。

檢閱新的政策設定，並返回任何您需要調整的頁面。

當您滿意時，選擇 建立政策。在AWS Firewall Manager 政策窗格中，應列出您的政策。它可能會指出帳戶標題下的待定，並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱檢視 AWS Firewall Manager 原則的符合性資訊。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

對於 Policy type (政策類型)，選擇 Security group (安全群組)。

對於 Security group policy type (安全群組類型)，選擇 Common security groups (常見安全群組)。

針對區域 ，選擇 AWS 區域。

選擇 Next (下一步)。

對於 Policy name (政策名稱)，輸入易記的名稱。

對於 Policy rules (政策規則)，執行下列操作：

1. 從規則選項中，選擇要套用至安全群組規則的限制，以及政策範圍內的資源。如果您選擇將標籤從主要安全群組分發至此政策 建立的安全群組，則您也必須選取識別並報告此政策建立的安全群組何時變成不合規的 。

   重要

   Firewall Manager 不會將 AWS 服務新增的系統標籤分發至複本安全群組。系統標籤以 aws: 字首開頭。此外，如果政策的標籤與組織的標籤政策衝突，則 Firewall Manager 不會更新現有安全群組的標籤，也不會建立新的安全群組。如需標籤政策的相關資訊，請參閱 AWS Organizations 使用者指南中的標籤政策。

   如果您選擇將安全群組參考從主要安全群組分發給此政策 建立的安全群組，則 Firewall Manager 只會在安全群組參考在 Amazon 中具有作用中的對等連線時分發安全群組參考VPC。如需此選項的相關資訊，請參閱政策規則設定 。

2. 對於主要安全群組 ，選擇新增安全群組 ，然後選擇您要使用的安全群組。Firewall Manager 會填入 Firewall Manager 管理員帳戶中所有 Amazon VPC執行個體的安全群組清單。

   根據預設，每個政策的主要安全群組數量上限為 3。如需有關此設定的詳細資訊，請參閱 AWS Firewall Manager 配額。

3. 對於 Policy action (政策動作)，我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時，請編輯政策並變更政策動作，以啟用不合規資源的自動修補。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

針對 Resource type (資源類型)，請選擇您要保護的資源類型。

對於資源類型EC2執行個體 ，您可以選擇修復所有 Amazon EC2執行個體，或僅修復只有預設主要彈性網路介面 （） 的執行個體ENI。對於後者選項，防火牆管理員不會修復具有其他ENI附件的執行個體。相反地，當啟用自動修復時，防火牆管理員只會標記這些EC2執行個體的合規狀態，而不會套用任何修復動作。請參閱 Amazon EC2 資源類型的其他注意事項和限制安全群組政策注意事項和限制。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用納入或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firrate Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

對於共用VPC資源 ，如果您想要將政策套用至共用 中的資源VPCs，除了帳戶擁有VPCs的 之外，請選取包含來自共用 的資源VPCs。

選擇 Next (下一步)。

檢閱政策設定，以確保其為您所需的設定，然後選擇 Create policy (建立政策)。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

對於 Policy type (政策類型)，選擇 Security group (安全群組)。

對於 Security group policy type (安全群組政策類型)，選擇 Auditing and enforcement of security group rules (稽核和強制執行安全群組規則)。

針對區域 ，選擇 AWS 區域。

選擇 Next (下一步)。

對於 Policy name (政策名稱)，輸入易記的名稱。

針對政策規則 ，選擇您要使用的受管或自訂政策規則選項。

1. 對於設定受管稽核政策規則 ，請執行下列動作：

   1. 針對設定要稽核的安全群組規則，選取您希望稽核政策套用的安全群組規則類型。

   2. 如果您想要根據安全群組中的通訊協定、連接埠和CIDR範圍設定執行稽核規則等作業，請選擇稽核過度寬鬆的安全群組規則，然後選擇您想要的選項。

      對於允許所有流量的選擇規則，您可以提供自訂應用程式清單，以指定要稽核的應用程式。如需有關自訂應用程式清單以及如何在政策中使用它們的資訊，請參閱 使用受管清單和 使用受管清單。

      對於使用通訊協定清單的選擇，您可以使用現有的清單，並建立新清單。如需有關通訊協定清單以及如何在政策中使用它們的資訊，請參閱 使用受管清單和 使用受管清單。

   3. 如果您想要根據其對預留或非預留CIDR範圍的存取權來稽核高風險，請選擇稽核高風險應用程式，然後選擇您想要的選項。

      下列選擇是互斥的：只能存取預留CIDR範圍的應用程式，以及允許存取非預留CIDR範圍的應用程式。您最多可以在任何政策中選取其中一個政策。

      對於使用應用程式清單的選擇，您可以使用現有的清單，並建立新清單。如需有關應用程式清單以及如何在政策中使用它們的資訊，請參閱 使用受管清單和 使用受管清單。

   4. 使用覆寫設定明確覆寫政策中的其他設定。您可以選擇一律允許或拒絕特定安全群組規則，無論它們是否符合您為政策設定的其他選項。

      針對此選項，您會提供稽核安全群組作為允許的規則或拒絕的規則範本。針對稽核安全群組 ，選擇新增稽核安全群組 ，然後選擇您要使用的安全群組。Firewall Manager 會填入 Firewall Manager 管理員帳戶中所有 Amazon VPC執行個體的稽核安全群組清單。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊，請參閱AWS Firewall Manager 配額。

2. 對於設定自訂政策規則 ，請執行下列動作：

   1. 從規則選項中，選擇是否只允許在稽核安全群組中定義的規則，或拒絕所有規則。如需此選項的詳細資訊，請參閱搭配 Firewall Manager 使用內容稽核安全群組政策。

   2. 針對稽核安全群組 ，選擇新增稽核安全群組 ，然後選擇您要使用的安全群組。Firewall Manager 會填入 Firewall Manager 管理員帳戶中所有 Amazon VPC執行個體的稽核安全群組清單。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊，請參閱AWS Firewall Manager 配額。

   3. 對於 Policy action (政策動作)，您必須建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時，請編輯政策並變更政策動作，以啟用不合規資源的自動修補。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

對於 Resource type (資源類型)，請選擇您要保護的資源類型。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用納入或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firrate Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

檢閱政策設定，以確保其為您所需的設定，然後選擇 Create policy (建立政策)。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

對於 Policy type (政策類型)，選擇 Security group (安全群組)。

針對安全群組政策類型 ，選擇稽核和清除未關聯和備援的安全群組 。

針對區域 ，選擇 AWS 區域。

選擇 Next (下一步)。

對於 Policy name (政策名稱)，輸入易記的名稱。

對於 Policy rules (政策規則)，選擇一個可用的選項或兩者都選擇。

對於 Policy action (政策動作)，我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時，請編輯政策並變更政策動作，以啟用不合規資源的自動修補。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用納入或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firrate Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

如果您尚未從政策範圍中排除 Firewall Manager 管理員帳戶，則 Firewall Manager 會提示您執行此操作。這樣做會在您的手動控制下，留下您用於一般和稽核安全群組政策的 Firewall Manager 管理員帳戶中的安全群組。在此對話方塊中選擇您想要的選項。

檢閱政策設定，以確保其為您所需的設定，然後選擇 Create policy (建立政策)。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型 ，選擇網路 ACL。

針對區域 ，選擇 AWS 區域。

選擇 Next (下一步)。

針對政策名稱 ，輸入描述性名稱。

針對政策規則 ，定義您要在 ACLs Firewall Manager 為您管理的網路中一律執行的規則。網路ACLs監控並處理傳入和傳出流量，因此在您的政策中，您可以定義雙向的規則。

對於任一方向，您都會定義要一律先執行的規則，以及要一律最後執行的規則。在 ACLs Firewall Manager 管理的網路中，帳戶擁有者可以定義要在這些第一個和最後一個規則之間執行的自訂規則。

對於政策動作 ，如果您想要識別不合規的子網路和網路 ACLs，但尚未採取任何修正動作，請選擇識別不符合政策規則但不會自動修復 的資源。您可以稍後變更這些選項。

如果您想要自動將政策套用至現有的範圍內子網路，請選擇自動修復任何不合規的資源 。使用此選項時，您也可以指定是否在政策規則的流量處理行為與網路 中的自訂規則衝突時強制修復ACL。無論您是否強制修復，防火牆管理員都會報告其合規違規中的衝突規則。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何不同的新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

對於資源類型 ，設定會固定在子網路 。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firester Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

檢閱政策設定，以確保其為您所需的設定，然後選擇 Create policy (建立政策)。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型，選擇 AWS Network Firewall。

在防火牆管理類型 下，選擇您要 Firewall Manager 管理政策防火牆的方式。您可以從以下選項中選擇：

針對區域 ，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立單獨的政策。

選擇 Next (下一步)。

針對政策名稱 ，輸入描述性名稱。Firewall Manager 會在其建立的網路防火牆和防火牆政策的名稱中包含政策名稱。

在AWS Network Firewall 政策組態 中，像在網路防火牆中一樣設定防火牆政策。新增無狀態和具狀態規則群組，並指定政策的預設動作。您可以選擇性地設定政策的狀態規則評估順序和預設動作，以及記錄組態。如需有關 Network Firewall 防火牆政策管理的資訊，請參閱 AWS Network Firewall 開發人員指南 中的AWS Network Firewall 防火牆政策。

當您建立 Firewall Manager 網路防火牆政策時，防火牆管理員會為範圍內的帳戶建立防火牆政策。個別帳戶管理員可以將規則群組新增至防火牆政策，但無法變更您在此處提供的組態。

選擇 Next (下一步)。

根據您在上一個步驟中選擇的防火牆管理類型，執行下列其中一項操作：

選擇 Next (下一步)。

如果您的政策使用分散式防火牆管理類型，請在路由管理 下，選擇 Firewall Manager 是否將監控和提醒必須透過個別防火牆端點路由的流量。

對於流量類型 ，選擇性地新增您要路由流量的流量端點以進行防火牆檢查。

對於允許必要的跨可用區域流量 ，如果您啟用此選項，則 Firewall Manager 會將流量從可用區域傳送出來進行檢查的合規路由視為沒有自己的防火牆端點的可用區域。具有端點的可用區域必須一律檢查自己的流量。

選擇 Next (下一步)。

對於政策範圍 ，根據AWS 帳戶 此政策適用於 ，選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

Network Firewall 政策的資源類型為 VPC。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firester Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

對於政策標籤 ，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱使用標籤編輯器。

選擇 Next (下一步)。

檢閱新的政策設定，並返回任何您需要調整的頁面。

當您滿意時，選擇 建立政策。在AWS Firewall Manager 政策窗格中，應列出您的政策。它可能會指出帳戶標題下的待定，並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱檢視 AWS Firewall Manager 原則的符合性資訊。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型 ，選擇Amazon Route 53 Resolver DNS防火牆 。

針對區域 ，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立單獨的政策。

選擇 Next (下一步)。

針對政策名稱 ，輸入描述性名稱。

在政策組態中，新增您希望DNS防火牆在 VPCs規則群組關聯中評估第一個和最後一個規則群組。您最多可以將兩個規則群組新增至政策。

當您建立 Firewall Manager DNS Firewall 政策時，Firriton Manager 會為您為範圍內的 VPCs和 帳戶建立規則群組關聯，其中包含您提供的關聯優先順序。個別帳戶管理員可以在第一個和最後一個關聯之間新增規則群組關聯，但無法變更您在此處定義的關聯。如需詳細資訊，請參閱在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS Firewall 政策。

選擇 Next (下一步)。

對於AWS 帳戶 此政策適用於 ，請選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

DNS 防火牆政策的資源類型為 VPC。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firester Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

選擇 Next (下一步)。

對於政策標籤 ，新增任何您要新增至 Firewall Manager 政策資源的識別標籤。如需標籤的詳細資訊，請參閱使用標籤編輯器。

選擇 Next (下一步)。

檢閱新的政策設定，並返回任何您需要調整的頁面。

當您滿意時，選擇 建立政策。在AWS Firewall Manager 政策窗格中，應列出您的政策。它可能會指出帳戶標題下的待定，並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱檢視 AWS Firewall Manager 原則的符合性資訊。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型 ，選擇 Palo Alto Networks Cloud NGFW。如果您尚未在 AWS Marketplace 中訂閱 Palo Alto Networks Cloud NGFW服務，則必須先執行此操作。若要在 AWS Marketplace 中訂閱，請選擇檢視 AWS Marketplace 詳細資訊 。

對於部署模型 ，選擇分散式模型或集中模型 。部署模型會決定 Firewall Manager 如何管理政策的端點。使用分散式模型時，防火牆管理員會在VPC政策範圍內的每個 中維護防火牆端點。透過集中式模型， Firewall Manager 會在檢查 中維護單一端點VPC。

針對區域 ，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立單獨的政策。

選擇 Next (下一步)。

針對政策名稱 ，輸入描述性名稱。

在政策組態中，選擇要與此政策建立關聯的 Palo Alto Networks Cloud NGFW防火牆政策。Palo Alto Networks Cloud NGFW防火牆政策的清單包含與 Palo Alto Networks Cloud NGFW 租戶相關聯的所有 Palo Alto Networks Cloud NGFW防火牆政策。如需建立和管理 Palo Alto Networks Cloud NGFW防火牆政策的相關資訊，請參閱 部署指南 中的使用 NGFW AWSAWS Firewall Manager主題部署 Palo Alto Networks Cloud for 。 NGFW AWS

對於 Palo Alto Networks Cloud NGFW記錄 - 選用 ，選擇性地選擇要為您的政策記錄的 Palo Alto Networks Cloud NGFW 日誌類型 （s）。如需有關 Palo Alto Networks Cloud NGFW日誌類型的資訊，請參閱在 Palo Alto Networks Cloud 的 部署指南 NGFW中設定 Palo Alto Networks Cloud 的日誌記錄 AWS。 NGFW AWS

針對日誌目的地 ，指定 Firewall Manager 應該寫入日誌的時間。

選擇 Next (下一步)。

在設定第三方防火牆端點下執行下列其中一項操作，取決於您是使用分散式還是集中式部署模型來建立防火牆端點：

如果您想要為 Firewall Manager 提供用於 中防火牆子網路的CIDR區塊VPCs，則它們必須是 /28 個CIDR區塊。每行輸入一個區塊。如果您省略這些項目，則 Firewall Manager 會從 中可用的 IP 地址中為您選擇 IP 地址VPCs。

選擇 Next (下一步)。

對於政策範圍 ，根據AWS 帳戶 此政策適用於 ，選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

Network Firewall 政策的資源類型為 VPC。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firester Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

針對授予跨帳戶存取權 ，選擇下載 AWS CloudFormation 範本 。這會下載範本 AWS CloudFormation ，供您用來建立 AWS CloudFormation 堆疊。此堆疊會建立 AWS Identity and Access Management 角色，授予 Firewall Manager 跨帳戶許可來管理 Palo Alto Networks Cloud NGFW 資源。如需堆疊的相關資訊，請參閱 AWS CloudFormation 使用者指南 中的使用堆疊。

選擇 Next (下一步)。

對於政策標籤 ，新增任何您要新增至 Firewall Manager 政策資源的識別標籤。如需標籤的詳細資訊，請參閱使用標籤編輯器。

選擇 Next (下一步)。

檢閱新的政策設定，並返回任何您需要調整的頁面。

當您滿意時，選擇 建立政策。在AWS Firewall Manager 政策窗格中，應列出您的政策。它可能會指出帳戶標題下的待定，並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱檢視 AWS Firewall Manager 原則的符合性資訊。

AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊，請參閱 AWS Firewall Manager 前提。

在導覽窗格中，選擇 Security policies (安全群組政策)。

選擇 建立政策。

針對政策類型 ，選擇 Fortigate Cloud Native Firewall （CNF） as a Service 。如果您尚未在 AWS Marketplace 中訂閱 Fortigate CNF服務，則需要先執行此操作。若要在 AWS Marketplace 中訂閱，請選擇檢視 AWS Marketplace 詳細資訊 。

針對部署模型 ，選擇分散式模型或集中模型 。部署模型會決定 Firewall Manager 如何管理政策的端點。使用分散式模型時，防火牆管理員會在VPC政策範圍內的每個 中維護防火牆端點。透過集中式模型， Firewall Manager 會在檢查 中維護單一端點VPC。

針對區域 ，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立單獨的政策。

選擇 Next (下一步)。

針對政策名稱 ，輸入描述性名稱。

在政策組態中，選擇要與此政策建立關聯的 Fortigate CNF防火牆政策。Fortigate CNF防火牆政策的清單包含與您的 Fortigate CNF 租戶相關聯的所有 Fortigate CNF防火牆政策。如需建立和管理 Fortigate CNF 租用戶的資訊，請參閱 Fortinet 文件 。

選擇 Next (下一步)。

在設定第三方防火牆端點下執行下列其中一項操作，取決於您是使用分散式還是集中式部署模型來建立防火牆端點：

如果您想要為 Firewall Manager 提供用於 中防火牆子網路的CIDR區塊VPCs，則它們必須是 /28 個CIDR區塊。每行輸入一個區塊。如果您省略這些項目，則 Firewall Manager 會從 中可用的 IP 地址中為您選擇 IP 地址VPCs。

選擇 Next (下一步)。

對於政策範圍 ，根據AWS 帳戶 此政策適用於 ，選擇選項，如下所示：

您只能選擇一個選項。

套用政策後，Firrate Manager 會根據您的設定自動評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 時OUs，Firriton Manager 會自動將政策套用至新帳戶。

Network Firewall 政策的資源類型為 VPC。

對於資源 ，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，而不是兩者。如需標籤的詳細資訊，請參閱使用標籤編輯器。

如果您輸入多個標籤，資源必須具有所有標籤才會被包含或排除。

資源標籤只能有非空值。如果您省略標籤的值，Firester Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

對於授予跨帳戶存取權 ，選擇下載 AWS CloudFormation 範本 。這會下載範本 AWS CloudFormation ，供您用來建立 AWS CloudFormation 堆疊。此堆疊會建立 AWS Identity and Access Management 角色，授予 Firewall Manager 跨帳戶許可來管理 Fortigate CNF 資源。如需堆疊的相關資訊，請參閱 AWS CloudFormation 使用者指南 中的使用堆疊。若要建立堆疊，您需要來自 Fortigate CNF 入口網站的帳戶 ID。

選擇 Next (下一步)。

對於政策標籤 ，新增任何您要新增至 Firewall Manager 政策資源的識別標籤。如需標籤的詳細資訊，請參閱使用標籤編輯器。

選擇 Next (下一步)。

檢閱新的政策設定，並返回任何您需要調整的頁面。

當您滿意時，選擇 建立政策。在AWS Firewall Manager 政策窗格中，應列出您的政策。它可能會指出帳戶標題下的待定，並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱檢視 AWS Firewall Manager 原則的符合性資訊。