托管列表 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
托管列表版本控制使用托管列表创建自定义托管应用程序列表创建自定义托管协议列表查看托管列表删除自定义托管列表
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管列表

托管应用程序和协议列表简化了您的配置和管理Amazon Firewall Manager内容审计安全组策略。您可以使用托管列表来定义您的策略允许和不允许的协议和应用程序。有关内容审计安全组策略的信息,请参阅内容审核安全组策略.

您可以在内容审计安全组策略中使用以下类型的托管列表:

  • Firewall Manager 应用程序列表和协议列表— Firewall Manager 管理这些列表。

    • 应用程序列表包括FMS-Default-Public-Access-Apps-AllowedFMS-Default-Public-Access-Apps-Denied,它描述了应允许或拒绝向公众开放的常用应用程序。

    • 协议列表包括FMS-Default-Protocols-Allowed,应允许公众使用的常用协议列表。您可以使用 Firewall Manager 管理的任何列表,但不能对其进行编辑或删除。

  • 自定义应用程序列表和协议列表— 您管理这些名单。您可以使用所需的设置创建任一类型的列表。您可以完全控制自己的自定义管理列表,并且可以根据需要创建、编辑和删除它们。

    注意

    目前,Firewall Manager 在您删除自定义托管列表时不会检查对它的引用。这意味着即使活动策略正在使用自定义托管应用程序列表或协议列表,您也可以将其删除。这可能会导致策略停止运行。只有在确认应用程序列表或协议列表未被任何有效策略引用后,才能将其删除。

托管列表为Amazon资源。您可以标记自定义托管列表。您无法标记Firewall Manager 托管列表。

托管列表版本控制

自定义托管列表没有版本。编辑自定义列表时,引用该列表的策略会自动使用更新后的列表。

Firewall Manager 托管列表受版本控制。Firewall Manager 服务团队根据需要发布新版本,以便将最佳安全实践应用于列表。

在策略中使用 Firewall Manager 托管列表时,可以按如下方式选择版本控制策略:

  • 最新可用版本— 如果您没有为列表指定明确的版本设置,则您的策略会自动使用最新版本。这是通过控制台可用的唯一选项。

  • 显式版本— 如果您为列表指定了版本,则您的策略将使用该版本。在您修改版本设置之前,您的策略将保持锁定在您指定的版本上。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDK。

有关为列表选择版本设置的更多信息,请参阅在内容审计安全组策略中使用托管列表.

在内容审计安全组策略中使用托管列表

在创建内容审核安全组策略时,您可以选择使用托管审计策略规则。此选项的某些设置需要托管应用程序列表或协议列表。这些设置的示例包括安全组规则中允许的协议以及应用程序可以访问互联网。

以下限制适用于使用托管列表的每个策略设置:

  • 您可以为任何设置最多指定一个 Firewall Manager 托管列表。默认情况下,您最多可以指定一个自定义列表。自定义列表限制是软配额,因此您可以申请增加该限额。有关更多信息,请参阅 Amazon Firewall Manager 配额

  • 在控制台中,如果您选择 Firewall Manager 托管列表,则无法指定版本。该策略将始终使用列表的最新版本。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDK。有关 Firewall Manager 托管列表版本控制的信息,请参阅托管列表版本控制.

有关通过控制台创建内容审核安全组策略的信息,请参阅创建内容审核安全组策略.

创建自定义托管应用程序列表

创建自定义托管应用程序列表

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择应用程序列表.

  3. 应用程序列表页面,选择创建应用程序列表.

  4. 创建应用程序列表页面,给你的名单起个名字。不要使用前缀fms-因为这是为Firewall Manager 保留的。

  5. 通过提供协议和端口号或从中选择应用程序来指定应用程序类型下拉。为您的应用程序规范命名。

  6. 选择再添加一个根据需要填写申请信息,直到您填写完清单。

  7. (可选)将标签应用于您的列表。

  8. 选择Save(保存)保存您的列表并返回应用程序列表页面。

创建自定义托管协议列表

创建自定义托管协议列表

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择协议列表.

  3. 协议列表页面,选择创建协议列表.

  4. 在协议列表创建页面中,为您的列表命名。不要使用前缀fms-因为这是为Firewall Manager 保留的。

  5. 指定协议。

  6. 选择再添加一个根据需要填写协议信息,直到您完成列表为止。

  7. (可选)将标签应用于您的列表。

  8. 选择Save(保存)保存您的列表并返回协议列表页面。

查看托管列表

查看应用程序列表或协议列表

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择应用程序列表要么协议列表.

    该页面显示了可供您使用的所选类型的所有列表。Firewall Manager 管理的列表有一个YManagedList列。

  3. 要查看列表的详细信息,请选择列表的详细信息。详情页面显示列表的内容和任何标签。

    对于 Firewall Manager 托管列表,您还可以通过选择版本下拉。

删除自定义托管列表

您可以删除自定义管理列表。您无法编辑或删除 Firewall Manager 管理的列表。

注意

目前,Firewall Manager 在您删除自定义托管列表时不会检查对它的引用。这意味着即使活动策略正在使用自定义托管应用程序列表或协议列表,您也可以将其删除。这可能会导致策略停止运行。只有在确认应用程序列表或协议列表未被任何有效策略引用后才能将其删除。

删除自定义托管应用程序或协议列表

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 通过执行以下操作,确保您要删除的列表未在任何审计安全组策略中使用:

    1. 在导航窗格中,选择 Security policies (安全策略)。

    2. Amazon Firewall Manager策略页面,选择并编辑您的审计安全组,然后删除对要删除的自定义列表的任何引用。

      如果您删除审计安全组策略中正在使用的自定义托管列表,则使用该列表的策略可能会停止运行。

  3. 在导航窗格中,选择应用程序列表要么协议列表,具体取决于要删除的列表的类型。

  4. 在列表页中,选择要删除的自定义列表,然后选择Delete.