创建 Amazon Firewall Manager 策略

为创建Firewall Manager 策略Amazon WAF（控制台）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于 Policy type (策略类型)，选择 Amazon WAF。

5. 对于区域，请选择一个Amazon Web Services 区域. 为了保护亚马逊 CloudFront 分布，选择服务全球.

   保护多个区域（除外）中的资源 CloudFront 分发），则必须为每个区域创建单独的Firewall Manager 策略。

6. 选择 Next（下一步）。

7. 对于策略名称，输入一个描述性名称。Firewall Manager 在其管理的 Web ACL 的名称中包含策略名称。Web ACL 名称有FMManagedWebACLV2-后面是您在此处输入的策略名称，-和 Web ACL 创建时间戳，以 UTC 毫秒为单位。例如，FMManagedWebACLV2-MyWAFPolicyName-1621880374078。

8. 在 Policy rules (策略规则) 下，添加您希望 Amazon WAF 在 Web ACL 中最先评估和最后评估的规则组。要使用Amazon WAF托管规则组版本控制，toggle启用版本控制已启用. 各客户经理可以在最先运行的规则组和最后运行的规则组之间添加规则和规则组。有关使用的更多信息Amazon WAFFirewall Manager 策略中的规则组Amazon WAF，请参阅阅。Amazon WAF 策略.

9. 设置 Web ACL 的默认操作。这个动作是AmazonWAF 在 Web 请求与 Web ACL 中的任何规则均不匹配时采用。您可以使用以下命令添加自定义标题Allow（允许）操作或自定义响应Block（阻止）操作。有关默认 Web ACL 操作的更多信息，请参阅决定 Web ACL 的默认操作. 有关设置自定义 Web 请求和响应的信息，请参阅中的自定义的 Web 请求和响应Amazon WAF.

10. 对于 Policy action (策略操作)，如果要在组织中的每个适用账户内创建一个 Web ACL，但不将 Web ACL 应用于任何资源，请选择 Identify resources that don't comply with the policy rules, but don't auto remediate (识别不符合策略规则的资源，但不进行自动修复)。您随后可以更改此选项。

    若要自动将策略应用于现有的范围内资源，请选择 Auto remediate any noncompliant resources (自动修复任何不合规的资源)。此选项会在 Amazon 组织中的每个适用账户内创建一个 Web ACL，并将 Web ACL 与账户中的资源关联。

    在选择的时候自动修复任何不合规的资源，对于未由其他有效的Firewall Manager 策略管理的 Web ACL，您也可以选择从范围内的资源中移除现有 Web ACL 关联。如果您选择此选项，Firewall Manager 会首先将策略的 Web ACL 与资源关联起来，然后删除先前的关联。如果资源与另一个 Web ACL 有关联，而该访问权限由不同的活动Firewall Manager 策略管理，则此选择不会影响该关联。

11. 选择 Next（下一步）。

12. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

13. 对于资源类型，选择要保护的资源的类型。

14. 对于 Resources (资源)，如果要仅保护（或排除）具有特定标签的资源，请选择相应的选项，然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息，请参阅使用标签编辑器。

    如果输入多个标签，则资源必须具有要包括或排除的所有标签。

15. 选择 Next（下一步）。

16. 对于策略标签，为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息，请参阅使用标签编辑器。

17. 选择 Next（下一步）。

18. 查看新策略。要进行任何更改，请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略，请选择 Create policy (创建策略)。

为创建Firewall Manager 策略Amazon WAF经典（主机）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于 Policy type (策略类型)，选择 Amazon WAF Classic。

5. 如果您已创建Amazon WAF要添加在策略中的经典规则组，选择创建Amazon Firewall Manager策略并添加现有规则组. 如果要创建一个新的规则组，请选择创建Firewall Manager 策略并添加新的规则组.

6. 对于区域，请选择一个Amazon Web Services 区域. 为了保护亚马逊 CloudFront 资源，选择服务全球.

   保护多个区域（除外）中的资源 CloudFront 资源），则必须为每个区域创建单独的Firewall Manager 策略。

7. 选择 Next（下一步）。

8. 如果您要创建规则组，请按照创建Amazon WAF经典规则组中的说明操作。在创建规则组后，请继续执行以下步骤。

9. 输入策略名称。

10. 如果您要添加现有规则组，请使用下拉菜单选择要添加的规则组，然后选择 Add rule group (添加规则组)。

11. 策略有两种可能的操作：由规则组设置的操作和计数. 如果您要测试策略和规则组，请将操作设置为 Count (计数)。此操作会覆盖该策略中的规则组所指定的任何阻止 操作。即，如果将策略的操作设置为 Count (计数)，则只会对这些请求进行计数而不会阻止它们。相反，如果将策略的操作设置为 Action set by rule group (由规则组设置的操作)，则会使用规则组规则的操作。选择适当的操作。

12. 选择 Next（下一步）。

13. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

14. 选择要保护的资源的类型。

15. 如果您只想保护带特定标签的资源，或者排除带特定标签的资源，请选择 Use tags to include/exclude resources (使用标签来包含/排除资源)，输入标签，然后选择 Include (包含) 或 Exclude (排除)。您只能选择一个选项。

    如果您输入了多个标签 (以逗号分隔)，并且某个资源带有任一这些标签，则会将该资源视为匹配项。

    有关标签的更多信息，请参阅使用标签编辑器。

16. 如果您要将策略自动应用于现有资源，请选择 Create and apply this policy to existing and new resources (创建此策略并将其应用于现有资源和新资源)。

    此选项在 Amazon 组织中的每个适用账户内创建一个 Web ACL，并将 Web ACL 与账户中的资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。或者，如果您选择 Create policy but do not apply the policy to existing or new resources (创建策略但不将策略应用于现有资源或新资源)，则 Firewall Manager 会在组织内的每个适用账户中创建一个 Web ACL，但不会将 Web ACL 应用于任何资源。您稍后必须将策略应用于资源。选择适当的选项。

17. 对于 Replace existing associated web ACLs (替换现有关联的 Web ACL)，您可以选择删除当前为范围内资源定义的任何 Web ACL 关联，然后将它们替换为与您使用此策略创建的 Web ACL 之间的关联。默认情况下，Firewall Manager 在添加新的 Web ACL 关联之前不会删除现有的 Web ACL 关联。如果要删除现有关联，请选择此选项。

18. 选择 Next（下一步）。

19. 查看新策略。要进行任何更改，请选择 Edit (编辑)。若您满意所创建的策略，请选择 Create and apply policy (创建并应用策略)。

为 Shield Advanced 创建Firewall Manager 策略（控制台）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于策略类型，选择Shield Advanced.

   要创建 Shield Advanced 策略，你必须订阅 Shield Advanced。如果您尚未订阅，则会提示您订阅。有关订阅成本的信息，请参阅Amazon Shield Advanced定价.

5. 对于区域，请选择一个Amazon Web Services 区域. 为了保护亚马逊 CloudFront分布，选择服务全球.

   对于地区以外的选项服务全球，要保护多个区域中的资源，必须为每个区域创建单独的Firewall Manager策略。

6. 选择 Next（下一步）。

7. 对于名称，输入一个描述性名称。

8. 对于服务全球仅限区域策略，您可以选择是否要管理 Shield Advanced 自动应用层 DDoS 缓解措施。有关此 Shield Advanced 功能的信息，请参阅Shield 高级自动应用层 DDoS 缓解.

   您可以选择启用或禁用自动缓解，也可以选择忽略自动缓解。如果你选择忽略它，Firewall Manager 根本不会为 Shield Advanced 保护管理自动缓解措施。有关这些策略选项的更多信息，请参阅亚马逊自动应用层 DDoS 缓解措施 CloudFront分布.

9. 对于策略操作，我们建议在创建策略时使用不自动修复不合规资源的选项。禁用自动修复后，可以在应用新策略之前评估其影响。如果您确信更改符合您的要求，则编辑策略并更改策略操作以启用自动修复。

   若要自动将策略应用于现有的范围内资源，请选择 Auto remediate any noncompliant resources (自动修复任何不合规的资源)。此选项对中的每个适用账户应用 Shield Advanced 保护Amazon组织和账户中的每种适用资源。

   对于服务全球仅限区域政策（如果您选择）自动修复任何不合规的资源，你也可以选择让 Firewall Manager 自动替换任何现有的Amazon WAF经典 Web ACL 关联以及与使用最新版本的 Web ACL 创建的新关联Amazon WAF(v2)。如果您选择此选项，Firewall Manager 会在所有尚未为策略提供空白 Web ACL 的账户中创建新的空 Web ACL 后，删除与早期版本 Web ACL 的关联并创建与最新版本 Web ACL 的新关联。有关此选项的更多信息，请参阅 Replace（替换）Amazon WAF带有最新版本 Web ACL 的经典 Web ACL。

10. 选择 Next（下一步）。

11. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将该策略应用于组织中的所有账户，请保留默认选择，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

12. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或Amazon Global Accelerator. 如果您需要使用 Shield Advanced 来保护资源免受这些服务的侵害，则不能使用Firewall Manager 策略。取而代之的是，请按照Shield 高级指导进行操作向 Amazon 资源添加 Amazon Shield Advanced 保护.

13. 如果您只想保护带有特定标签的资源，或者要排除带有特定标签的资源，请选择使用标签来包含/排除资源，输入用逗号分隔的标签，然后选择其中一个Include要么Exclude. 您只能选择一个选项。

    如果您输入多个标签，并且资源具有这些标签中的任何一个，则将其视为匹配项。

    有关标签的更多信息，请参阅使用标签编辑器。

14. 选择 Next（下一步）。

15. 对于策略标签，为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息，请参阅使用标签编辑器。

16. 选择 Next（下一步）。

17. 查看新策略。要进行任何更改，请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略，请选择 Create policy (创建策略)。

创建 通用安全组策略（控制台）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于 Policy type (策略类型)，选择 Security group (安全组)。

5. 对于 Security group policy type (安全组策略类型)，选择 Common security groups (通用安全组)。

6. 对于区域，请选择一个Amazon Web Services 区域.

7. 选择 Next（下一步）。

8. 对于 Policy name (策略名称)，输入一个友好名称。

9. 对于政策规则，请执行以下操作：

   1. 从规则选项中，选择要应用于安全组规则和策略范围内的资源的限制。如果选择...将标签从主安全组分配到此策略创建的安全组，那么你还必须选择识别并报告此策略创建的安全组何时变得不合规.

      重要

      Firewall Manager 不会分发由添加的系统标记Amazon服务放入副本安全组。系统标签以aws:前缀。

   2. 对于主要安全组，选择添加主安全组，然后选择要使用的安全组。Firewall Manager 填充Firewall Manager 管理员账户中所有 Amazon VPC 实例的主要安全组列表。一个策略的主安全组的默认最大数量为一。有关增加最大值的信息，请参阅Amazon Firewall Manager 配额。

   3. 对于 Policy action (策略操作)，建议使用不自动修复的选项来创建策略。这允许您在应用新保单之前评估其影响。如果您确信更改符合您的要求，则编辑策略并更改策略操作，以启用对不合规资源的自动修复。

10. 选择 Next（下一步）。

11. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

12. 对于资源类型，选择要保护的资源的类型。

    如果选择...EC2 实例，您可以选择在每个 Amazon EC2 实例中包含所有弹性网络接口，或者只在每个实例中包含默认接口。如果您在任何范围内的 Amazon EC2 实例中有多个elastic network interface，则选择包含所有接口的选项允许 Firewall Manager 将策略应用于所有接口。当您启用自动修复时，如果 Firewall Manager 无法将策略应用于 Amazon EC2 实例中的所有弹性网络接口，则会将该实例标记为不合规。

13. 对于资源，如果你想将策略应用于其中的所有资源Amazon Web Services 账户和资源类型参数，选择包括与选定资源类型匹配的所有资源. 如果要包含或排除特定资源，请使用标记来指定资源，然后选择相应的选项并将标签添加到列表中。您可以将策略应用于除具有您指定所有标签的资源之外的所有资源，也可以将其仅应用于具有您指定所有标签的资源。有关标记资源的更多信息，请参阅使用标签编辑器。

    注意

    如果您输入多个标签，则资源必须具有所有标签才能匹配。

14. 对于 Shared VPC resources (共享 VPC 资源)，如果除了账户拥有的 VPC 外，您要将策略应用于共享 VPC 中的资源，请选择 Include resources from shared VPCs (包括共享 VPC 中的资源)。

15. 选择 Next（下一步）。

16. 查看策略设置，确保它们满足您的需求，然后选择 Create policy (创建策略)。

创建内容审计安全组策略（控制台）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于 Policy type (策略类型)，选择 Security group (安全组)。

5. 对于安全组策略类型，选择安全组规则的审计和执行.

6. 对于区域，请选择一个Amazon Web Services 区域.

7. 选择 Next（下一步）。

8. 对于 Policy name (策略名称)，输入一个友好名称。

9. 对于政策规则，选择要使用的托管或自定义策略规则选项。

   1. 对于配置托管审计策略规则，请执行以下操作：

      1. 对于配置要审计的安全组规则，选择您希望审计策略应用到的安全组规则的类型。

      2. 如果您想执行限制安全组中允许的协议、端口和 CIDR 范围设置之类的操作，请选择审计过于宽松的安全组规则然后选择想要设置的选项。

         对于使用协议列表的选项，您可以使用现有列表，也可以创建新列表。有关协议列表以及如何在策略中使用它们的信息，请参阅托管列表和使用托管列表.

      3. 如果要对特定应用程序的功能实施限制，请选择审计高风险应用程序然后选择想要设置的选项。

         以下选项是互斥的：只能访问本地 CIDR 范围的应用程序和可以使用公共 CIDR 范围的应用程序. 任何策略中最多可以选择其中一个。

         对于使用应用程序列表的选项，您可以使用现有列表，也可以创建新列表。有关应用程序列表以及如何在策略中使用它们的信息，请参阅托管列表和使用托管列表.

      4. 使用Overrides设置以显式覆盖策略中的其他设置。您可以选择始终允许或始终拒绝特定的安全组规则，无论它们是否符合您为策略设置的其他选项。

         对于此选项，您可以提供审计安全组作为允许的规则或拒绝的规则模板。对于审计安全组，选择添加审计安全组，然后选择要使用的安全组。Firewall Manager 填充Firewall Manager 管理员账户中所有 Amazon VPC 实例的审计安全组列表。策略的审计安全组数量的默认最大配额为一。有关增加配额的信息，请参阅Amazon Firewall Manager 配额。

   2. 对于配置自定义策略规则，请执行以下操作：

      1. 从规则选项中，选择是只允许审计安全组中定义的规则，还是拒绝所有规则。有关此选择的信息，请参阅内容审核安全组策略。

      2. 对于审计安全组，选择添加审计安全组，然后选择要使用的安全组。Firewall Manager 填充Firewall Manager 管理员账户中所有 Amazon VPC 实例的审计安全组列表。策略的审计安全组数量的默认最大配额为一。有关增加配额的信息，请参阅Amazon Firewall Manager 配额。

      3. 对于 Policy action (策略操作)，您必须使用不自动修复的选项来创建策略。这允许您在应用新保单之前评估其影响。如果您确信更改符合您的要求，请编辑策略并更改策略操作，以启用对不合规资源的自动修复。

10. 选择 Next（下一步）。

11. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

12. 对于资源类型，选择要保护的资源的类型。

13. 对于资源，如果你想将策略应用于其中的所有资源Amazon Web Services 账户和资源类型参数，选择包括与选定资源类型匹配的所有资源. 如果要包含或排除特定资源，请使用标记来指定资源，然后选择相应的选项并将标签添加到列表中。您可以将策略应用于除具有您指定所有标签的资源之外的所有资源，也可以将其仅应用于具有您指定所有标签的资源。有关标记资源的更多信息，请参阅使用标签编辑器。

    注意

    如果您输入多个标签，则资源必须具有所有标签才能匹配。

14. 选择 Next（下一步）。

15. 查看策略设置，确保它们满足您的需求，然后选择 Create policy (创建策略)。

创建使用情况审计安全组策略（控制台）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于 Policy type (策略类型)，选择 Security group (安全组)。

5. 对于安全组策略类型，选择审核和清理未使用的和冗余的安全组.

6. 对于区域，请选择一个Amazon Web Services 区域.

7. 选择 Next（下一步）。

8. 对于 Policy name (策略名称)，输入一个友好名称。

9. 对于 Policy rules (策略规则)，选择其中一个或全部两个可用选项。

   • 如果选择...此策略范围内的安全组必须由至少一个资源使用。，Firewall Manager 会移除其确定为未使用的所有安全组。默认情况下，如果安全组在任何时间段内未使用，Firewall Manager 会将其视为不符合此策略规则。您可以选择指定安全组在被视为不合规之前可以处于未使用状态的分钟数。如果您选择此规则，Firewall Manager 将在您保存策略时最后运行该规则。

   • 如果选择...此策略范围内的安全组必须是唯一的。，Firewall Manager 整合了冗余的安全组，因此只有一个安全组与任何资源相关联。如果您选择此选项，Firewall Manager 会在您保存策略时首先运行它。

10. 对于 Policy action (策略操作)，建议使用不自动修复的选项来创建策略。这允许您在应用新保单之前评估其影响。如果您确信更改符合您的要求，则编辑策略并更改策略操作，以启用对不合规资源的自动修复。

11. 选择 Next（下一步）。

12. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

13. 对于资源，如果你想将策略应用于其中的所有资源Amazon Web Services 账户和资源类型参数，选择包括与选定资源类型匹配的所有资源. 如果要包含或排除特定资源，请使用标记来指定资源，然后选择相应的选项并将标签添加到列表中。您可以将策略应用于除具有您指定所有标签的资源之外的所有资源，也可以将其仅应用于具有您指定所有标签的资源。有关标记资源的更多信息，请参阅使用标签编辑器。

    注意

    如果您输入多个标签，则资源必须具有所有标签才能匹配。

14. 选择 Next（下一步）。

15. 如果您尚未将 Firewall Manager 管理员帐户排除在策略范围之外，Firewall Manager 会提示您执行此操作。这样做会将 Firewall Manager 管理员帐户中的安全组置于手动控制之下，您使用该帐户执行常见和审计安全组策略。在此对话框中选择你想要的选项。

16. 查看策略设置，确保它们满足您的需求，然后选择 Create policy (创建策略)。

为创建Firewall Manager 策略Amazon Network Firewall（控制台）

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于 Policy type (策略类型)，选择 Amazon Network Firewall。

5. 下面部署模型，选择要用于策略的部署模型。与分布式，Firewall Manager 在策略范围内的每个 VPC 中创建和维护防火墙终端节点。与集中式，Firewall Manager 在单一检查 VPC 中创建和维护终端节点。

6. 对于区域，请选择一个Amazon Web Services 区域. 要保护多个区域中的资源，必须为每个区域创建单独的策略。

7. 选择 Next（下一步）。

8. 对于策略名称，输入一个描述性名称。Firewall Manager 在其创建的Network Firewall 防火墙和防火墙策略的名称中包含策略名称。

9. 在Amazon Network Firewall策略配置，像在Network Firewall 中一样配置防火墙策略。添加您的无状态和有状态规则组并指定策略的默认操作。您可以选择设置策略的状态规则评估顺序和默认操作以及日志配置。有关Network Firewall 防火墙策略管理的信息，请参阅Amazon Network Firewall防火墙策略在Amazon Network Firewall开发人员指南.

   创建 Firewall Manager Network Firewall 策略时，Firewall Manager 会为范围内的帐户创建防火墙策略。个人账户管理员可以将规则组添加到防火墙策略中，但他们无法更改您在此处提供的配置。

10. 选择 Next（下一步）。

11. 根据您是在使用分布式还是集中式部署模式创建防火墙端点，执行以下操作之一：

    • 如果您为此策略使用分布式部署模型，请在Amazon Firewall Manager终端节点配置下防火墙终端节点位置，请选择以下任一选项：

      • 自定义终端节点配置-Firewall Manager 在您指定的可用区中为策略范围内的每个 VPC 创建防火墙。每个防火墙至少包含一个防火墙端点。

        • 下面可用区，选择要在哪些可用区中创建防火墙终端节点。您可以通过以下方式选择可用区可用区名称或者通过可用区 ID.

      • 自动终端节点配置-Firewall Manager 在您的 VPC 中使用公有子网在可用区中自动创建防火墙终端节点

        • 对于防火墙端点配置，指定您希望Firewall Manager 如何管理防火墙端点。我们建议使用多个终端节点以实现高可用性。

    • 如果您使用此策略的集中部署模型，请在Amazon Firewall Manager终端节点配置下检查 VPC 配置，输入Amazon检查 VPC 的拥有者的 Acccount ID 和检查 VPC 的 VPC ID。

      • 下面可用区，选择要在哪些可用区中创建防火墙终端节点。您可以通过以下方式选择可用区可用区名称或者通过可用区 ID.

12. 如果您想提供 CIDR 区块供Firewall Manager 用于 VPC 中的防火墙子网，则它们必须全部为 /28 CIDR 块。每行输入一个区块。如果您省略这些 IP 地址，Firewall Manager 会从 VPC 中可用的 IP 地址中为您选择 IP 地址。

    注意

    自动修复会自动进行Amazon Firewall ManagerNetwork Firewall 策略，因此您不会在此处看到选择不auto 修复的选项。

13. 选择 Next（下一步）。

14. 如果您的策略使用分布式部署模型，请在路由管理，选择 Firewall Manager 是否监控必须通过相应防火墙端点路由的流量并发出警报。

    注意

    如果选择...显示器，您不能将设置更改为Off以后再说。监控将一直持续到您删除策略为止。

15. 对于流量类型，可选择添加要向其路由流量以供防火墙检查的流量端点。

16. 对于允许所需的跨可用区流量，如果您启用此选项，则 Firewall Manager 会将流量发送出可用区进行检查的合规路由，对于没有自己的防火墙端点的可用区。具有终端节点的可用区必须始终检查自己的流量。

17. 选择 Next（下一步）。

18. 对于策略范围，在Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

19. 这些区域有：资源类型Network FirewallVPC.

20. 对于 Resources (资源)，如果要仅保护（或排除）具有特定标签的资源，请选择相应的选项，然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息，请参阅使用标签编辑器。

    如果输入多个标签，则资源必须具有要包括或排除的所有标签。

21. 选择 Next（下一步）。

22. 对于策略标签，为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息，请参阅使用标签编辑器。

23. 选择 Next（下一步）。

24. 查看新策略。要进行任何更改，请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略，请选择 Create policy (创建策略)。

为 Amazon Route 53 Resolver DNS Firewall（控制台）创建防火墙Firewall Manager

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于策略类型，选择Amazon Route 53 ResolverDNS 控制台.

5. 对于区域，请选择一个Amazon Web Services 区域. 要保护多个区域中的资源，必须为每个区域创建单独的策略。

6. 选择 Next（下一步）。

7. 对于策略名称，输入一个描述性名称。

8. 在策略配置中，添加您希望 DNS Firewall 在 vPC 的规则组关联中首先评估和最后评估的规则组。您可以向策略添加最多两个规则组。

   当您创建 Firewall Manager DNS 防火墙策略时，Firewall Manager 会使用您提供的关联优先级为范围内的 VPC 和帐户创建规则组关联。个人客户经理可以在您的第一个关联和最后一个关联之间添加规则组关联，但他们无法更改您在此处定义的关联。有关更多信息，请参阅 Amazon Route 53 Rolver DNS。

9. 选择 Next（下一步）。

10. 对于Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

11. 这些区域有：资源类型DNS Firewall 策略是VPC.

12. 对于 Resources (资源)，如果要仅保护（或排除）具有特定标签的资源，请选择相应的选项，然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息，请参阅使用标签编辑器。

    如果输入多个标签，则资源必须具有要包括或排除的所有标签。

13. 选择 Next（下一步）。

14. 对于策略标签，为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息，请参阅使用标签编辑器。

15. 选择 Next（下一步）。

16. 查看新策略。要进行任何更改，请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略，请选择 Create policy (创建策略)。

为 Palo Alto Networks Cloud NGFW（控制台）创建Firewall Manager 策略

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 选择 Create policy（创建策略）。

4. 对于策略类型，选择帕洛阿尔托网络帕洛阿尔托网络云 NGFW. 如果你还没有订阅 Palo Alto Networks Cloud Networks NGFW 服务AmazonMarketplace，您需要先这样做。在处登录AmazonMarketplace，选择查看AmazonMarketplace 详情.

5. 对于部署模型，请选择以下任一项分布式模型要么集中式模型. 部署模型决定了 Firewall Manager 如何管理策略的端点。在分布式模式下，Firewall Manager 会在策略范围内的每个 VPC 中维护防火墙终端节点。在集中式模式下，Firewall Manager 在检查 VPC 中维护单个终端节点。

6. 对于区域，请选择一个Amazon Web Services 区域. 要保护多个区域中的资源，必须为每个区域创建单独的策略。

7. 选择 Next（下一步）。

8. 对于策略名称，输入一个描述性名称。

9. 在策略配置中，选择要与此策略关联的 Palo Alto Networks Cloud NGFW 防火墙策略。Palo Alto Networks Cloud NGFW 防火墙策略列表包含与你的 Palo Alto Networks Cloud NGFW 租户关联的所有帕洛阿尔托网络 Cloud NGFW 防火墙策略。有关创建和管理 Palo Alto Networks Cloud NGFW 防火墙策略的信息，请参阅部署 Palo Alto Networks CloudAmazon用Amazon Firewall Manager主题Palo Alto Networks Palo Alto 网络云 NGFWAmazon部署指南.

10. 对于Palo Alto Networks Palo Alto Networks Cloud，可以选择为你的策略记录哪种 Palo Alto Networks Cloud NGFW 日志类型。有关 Palo Alto Networks Cloud NGFW 日志类型的信息，请参阅配置 Palo Alto Networks Cloud NetworksAmazon在Palo Alto Networks Palo Alto 网络云 NGFWAmazon部署指南.

    对于日志目标，请指定Firewall Manager 应在何时写入日志。

11. 选择 Next（下一步）。

12. 下面配置第三方Firewall 终根据您是在使用分布式还是集中式部署模式创建防火墙端点，执行以下操作之一：

    • 如果您使用此策略的分布式部署模型，请在可用区，选择要在哪些可用区中创建防火墙终端节点。您可以通过以下方式选择可用区可用区名称或者通过可用区 ID.

    • 如果您使用此策略的集中部署模型，请在Amazon Firewall Manager终端节点配置下检查 VPC 配置，输入Amazon检查 VPC 的拥有者的 Acccount ID 和检查 VPC 的 VPC ID。

      • 下面可用区，选择要在哪些可用区中创建防火墙终端节点。您可以通过以下方式选择可用区可用区名称或者通过可用区 ID.

13. 如果您想提供 CIDR 区块供Firewall Manager 用于 VPC 中的防火墙子网，则它们必须全部为 /28 CIDR 块。每行输入一个区块。如果您省略这些 IP 地址，Firewall Manager 会从 VPC 中可用的 IP 地址中为您选择 IP 地址。

    注意

    自动修复会自动进行Amazon Firewall ManagerNetwork Firewall 策略，因此您不会在此处看到选择不auto 修复的选项。

14. 选择 Next（下一步）。

15. 对于策略范围，在Amazon Web Services 账户本政策适用于，请按如下方式选择选项：

    • 如果要将策略应用于组织中的所有账户，请保留默认选项，包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户，请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位)，然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位，请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位，并包括所有其他账户和组织单位)，然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户，包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后，Firewall Manager 会自动根据您的设置评估任何新帐户。例如，如果您仅包括特定帐户，Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子，如果您包括一个 OU，则当您向该 OU 或其任何子 OU 添加帐户时，Firewall Manager 会自动将策略应用于新帐户。

16. 这些区域有：资源类型Network FirewallVPC.

17. 对于 Resources (资源)，如果要仅保护（或排除）具有特定标签的资源，请选择相应的选项，然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息，请参阅使用标签编辑器。

    如果输入多个标签，则资源必须具有要包括或排除的所有标签。

18. 对于授予跨账户访问权限，选择下载Amazon CloudFormation模板. 这会下载一个Amazon CloudFormation你可以用它来创建一个模板Amazon CloudFormation堆栈。这个堆栈创建了一个Amazon Identity and Access Management该角色授予Firewall Manager 跨账户权限来管理 Palo Alto Networks Cloud NGFW 资源。有关堆栈的信息，请参阅使用堆栈在Amazon CloudFormation用户指南.

19. 选择 Next（下一步）。

20. 对于策略标签，为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息，请参阅使用标签编辑器。

21. 选择 Next（下一步）。

22. 查看新策略。要进行任何更改，请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略，请选择 Create policy (创建策略)。