**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS Firewall Manager AWS WAF 政策
<a name="getting-started-fms"></a>

若要使用 AWS Firewall Manager 在整個組織中啟用 AWS WAF 規則，請依序執行下列步驟。

**Topics**
+ [步驟 1：完成先決條件](#complete-prereq)
+ [步驟 2：建立和套用 AWS WAF 政策](#get-started-fms-create-security-policy)
+ [步驟 3：清除](#clean-up)

## 步驟 1：完成先決條件
<a name="complete-prereq"></a>

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。先完成所有的先決條件，再進行[步驟 2：建立和套用 AWS WAF 政策](#get-started-fms-create-security-policy)。

## 步驟 2：建立和套用 AWS WAF 政策
<a name="get-started-fms-create-security-policy"></a>

Firewall Manager AWS WAF 政策包含您要套用至資源的規則群組。Firewall Manager 會在您套用政策的每個帳戶中建立 Firewall Manager Web ACL。除了您已定義的規則群組之外，個別帳戶管理員還可以將規則和規則群組新增至產生的 Web ACL。如需 Firewall Manager AWS WAF 政策的詳細資訊，請參閱 [搭配 Firewall Manager 使用 AWS WAF 政策](waf-policies.md)。

**建立 Firewall Manager AWS WAF 政策 （主控台）**

 AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **AWS WAF**。

1. 針對**區域**，選擇 AWS 區域。若要保護 Amazon CloudFront 分佈，請選擇**全域**。

   若要保護多個區域中的資源 (CloudFront 分佈除外），您必須為每個區域建立個別的 Firewall Manager 政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。Firewall Manager 會在其管理的 Web ACLs名稱中包含政策名稱。Web ACL 名稱`FMManagedWebACLV2-`後面接著您在此處輸入的政策名稱、 `-`和 Web ACL 建立時間戳記，以 UTC 毫秒為單位。例如 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。
**重要**  
Web ACL 名稱在建立後無法變更。如果您更新政策的名稱，防火牆管理員不會更新相關聯的 Web ACL 名稱。若要讓 Firewall Manager 建立不同名稱的 Web ACL，您必須建立新的政策。

1. 在 **Policy rules (政策規則)** 下，針對 **First rule groups (第一個規則群組)**，選擇 **Add rule groups (新增規則群組)**。展開**AWS 受管規則群組**。對於 **Core rule set (核心規則集)**，請切換 **Add to web ACL (新增至 Web ACL)**。對於**AWS 已知錯誤輸入**，切換**新增至 Web ACL**。選擇 **Add rules (新增規則)**。

   對於 **Last rule groups (最後一個規則群組)**，選擇 **Add rule groups (新增規則群組)**。展開**AWS 受管規則群組**，並在 **Amazon IP 評價清單中**切換**新增至 Web ACL**。選擇 **Add rules (新增規則)**。

   在**第一個規則群組**下，選取**核心規則集**，然後選擇**下移**。針對**AWS 已知的錯誤輸入**規則群組 AWS WAF 評估 Web 請求，然後再針對**核心規則集**進行評估。

   您也可以視需要使用 AWS WAF 主控台建立自己的 AWS WAF 規則群組。您建立的任何規則群組會顯示在**描述政策 ：新增規則群組頁面**的**規則**群組下。

   您透過 Firewall Manager 管理的第一個和最後一個 AWS WAF 規則群組的名稱分別以 `PREFMManaged-`或 開頭`POSTFMManaged-`，後面接著 Firewall Manager 政策名稱，以及規則群組建立時間戳記，以 UTC 毫秒為單位。例如 `PREFMManaged-MyWAFPolicyName-1621880555123`。

1. 保留 Web ACL 的預設動作為 **Allow (允許)**。

1. 將 **Policy action (政策動作)** 保留為預設狀態，即不自動修補不合規的資源。您可於稍後變更此選項。

1. 選擇**下一步**。

1. 針對 **Policy scope (政策範圍)**，您可以提供帳戶的設定、資源類型和用以識別您要套用政策之資源的標記。在本教學課程中，請保留 **AWS 帳戶**和 **資源**設定，然後選擇一或多個資源類型。

1. 對於**資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   請務必確定 **Policy action (政策動作)** 已設為 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源，但不要自動修補。)**。這可讓您檢閱政策在啟用變更之前所做的變更。

1. 當您滿意時，選擇 **建立政策**。

   在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

## 步驟 3：清除
<a name="clean-up"></a>

若要避免額外費用，請刪除任何不必要的政策和資源。

**刪除政策 (主控台)**

1. 在**AWS Firewall Manager 政策**頁面上，選擇政策名稱旁的選項按鈕，然後選擇**刪除**。

1. 在 **Delete (刪除)** 確認方塊中，選取 **Delete all policy resources (刪除所有政策資源)**，然後再次選擇 **Delete (刪除)**。

   AWS WAF 會移除政策及其在帳戶中建立的任何相關資源，例如 Web ACLs。這些變更可能需要幾分鐘的時間才能傳播到所有帳戶。