**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS Firewall Manager Palo Alto Networks 雲端新一代防火牆政策
<a name="getting-started-fms-cloud-ngfw"></a>

若要使用 AWS Firewall Manager 啟用 Palo Alto Networks 雲端新一代防火牆 (NGFW) 政策，請依序執行下列步驟。如需 Palo Alto Networks 雲端 NGFW 政策的詳細資訊，請參閱 [使用 Firewall Manager 的 Palo Alto Networks 雲端 NGFW 政策](cloud-ngfw-policies.md)。

**Topics**
+ [步驟 1：完成一般先決條件](#complete-fms-prereq)
+ [步驟 2：完成 Palo Alto Networks 雲端 NGFW 政策先決條件](#complete-prereq-cloud-ngfw)
+ [步驟 3：建立和套用 Palo Alto Networks 雲端 NGFW 政策](#get-started-fms-cloud-ngfw-create-policy)

## 步驟 1：完成一般先決條件
<a name="complete-fms-prereq"></a>

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。在繼續下一個步驟之前，請先完成所有先決條件。

## 步驟 2：完成 Palo Alto Networks 雲端 NGFW 政策先決條件
<a name="complete-prereq-cloud-ngfw"></a>

您必須完成幾個額外的必要步驟，才能使用 Palo Alto Networks Cloud NGFW 政策。[Palo Alto Networks 雲端新一代防火牆政策先決條件](fms-third-party-prerequisites.md#fms-cloud-ngfw-prerequisites) 說明這些步驟。在繼續下一個步驟之前，請先完成所有先決條件。

## 步驟 3：建立和套用 Palo Alto Networks 雲端 NGFW 政策
<a name="get-started-fms-cloud-ngfw-create-policy"></a>

完成先決條件後，您可以建立 AWS Firewall Manager Palo Alto Networks 雲端 NGFW 政策。

如需 Palo Alto Networks Cloud NGFW 的 Firewall Manager 政策的詳細資訊，請參閱 [使用 Firewall Manager 的 Palo Alto Networks 雲端 NGFW 政策](cloud-ngfw-policies.md)。

**為 Palo Alto Networks Cloud NGFW 建立 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **Palo Alto Networks Cloud NGFW**。如果您尚未在 AWS Marketplace 中訂閱 Palo Alto Networks Cloud NGFW 服務，您必須先執行此操作。若要在 AWS Marketplace 中訂閱，請選擇**檢視 AWS Marketplace 詳細資訊**。

1. 針對**部署模型**，選擇**分散式模型**或**集中式模型**。部署模型會決定 Firewall Manager 如何管理政策的端點。使用分散式模型時，防火牆管理員會在政策範圍內的每個 VPC 中維護防火牆端點。使用集中式模型，防火牆管理員會在檢查 VPC 中維護單一端點。

1. 針對**區域**，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立個別的政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。

1. 在政策組態中，選擇要與此政策建立關聯的 Palo Alto Networks Cloud NGFW 防火牆政策。Palo Alto Networks Cloud NGFW 防火牆政策清單包含與 Palo Alto Networks Cloud NGFW 租用戶相關聯的所有 Palo Alto Networks Cloud NGFW 防火牆政策。如需有關建立和管理 Palo Alto Networks Cloud NGFW 防火牆政策的詳細資訊，請參閱部署指南中的*[部署 Palo Alto Networks Cloud NGFW for AWS 與 AWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* 主題。 * AWS *

1. 對於 **Palo Alto Networks 雲端 NGFW 記錄 - 選用**，選擇性地選擇要為您的政策記錄的 Palo Alto Networks 雲端 NGFW 日誌類型 (s)。如需有關 Palo Alto Networks Cloud NGFW 日誌類型的資訊，請參閱[《Palo Alto Networks Cloud NGFW》中的在 上設定 Palo Alto Networks Cloud NGFW 的日誌記錄 AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html)*以取得 AWS 部署指南*。

   對於**日誌目的地**，請指定 Firewall Manager 應該寫入日誌的時間。

1. 選擇**下一步**。

1. 在**設定第三方防火牆端點**下執行下列其中一項操作，取決於您使用分散式或集中式部署模型來建立防火牆端點：
   + 如果您使用此政策的分散式部署模型，請在**可用區域**下選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。
   + 如果您使用此政策的集中式部署模型，請在**檢查 VPC** **AWS Firewall Manager 組態下的端點**組態中，輸入檢查 VPC 擁有者 AWS 的帳戶 ID，以及檢查 VPC 的 VPC ID。
     + 在**可用區域**下，選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。

1. 選擇**下一步**。

1. 對於**政策範圍**，**AWS 帳戶 在此政策下適用於** ，選擇選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

   Network Firewall 政策**的資源類型**為 **VPC**。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 針對**授予跨帳戶存取權**，選擇**下載 CloudFormation 範本**。這會下載範本 CloudFormation ，供您用來建立 CloudFormation 堆疊。此堆疊會建立 AWS Identity and Access Management 角色，授予 Firewall Manager 跨帳戶許可來管理 Palo Alto Networks Cloud NGFW 資源。如需堆疊的相關資訊，請參閱*CloudFormation 《 使用者指南*》中的[使用堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   請務必確定 **Policy action (政策動作)** 已設為 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源，但不要自動修補。)**。這可讓您檢閱政策在啟用變更之前所做的變更。

1. 當您滿意時，選擇 **建立政策**。

   在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

如需 Firewall Manager Palo Alto Networks 雲端 NGFW 政策的詳細資訊，請參閱 [使用 Firewall Manager 的 Palo Alto Networks 雲端 NGFW 政策](cloud-ngfw-policies.md)。