第 3 步:创建并应用 Palo Alto Networks Cloud NGFW 政策 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 3 步:创建并应用 Palo Alto Networks Cloud NGFW 政策

完成先决条件后,您创建一个Amazon Firewall Manager帕洛阿尔托网络云下一代防火墙政策。

有关 Palo Alto Networks Cloud NGFW 的Firewall Manager 策略的更多信息,请参阅帕洛阿尔托网络云 NGFW 政策.

为 Palo Alto Networks Cloud NGFW(控制台)创建Firewall Manager 策略

  1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)

  4. 对于策略类型,选择帕洛阿尔托网络帕洛阿尔托网络云 NGFW. 如果你还没有订阅 Palo Alto Networks Cloud Networks NGFW 服务AmazonMarketplace,您需要先这样做。要订阅AmazonMarketplace查看AmazonMarketplace.

  5. 对于部署模型,请选择以下任一项分布式模型要么集中式模型. 部署模型决定了Firewall Manager 如何管理策略的端点。在分布式模式下,Firewall Manager 会在策略范围内的每个 VPC 中维护防火墙终端节点。在集中式模式下,Firewall Manager 在检查 VPC 中维护单个终端节点。

  6. 对于区域,请选择一个Amazon Web Services 区域. 要保护多个区域中的资源,您必须为每个区域创建单独的策略。

  7. 选择 Next(下一步)。

  8. 对于策略名称,输入一个描述性名称。

  9. 在策略配置中,选择要与此策略关联的 Palo Alto Networks Cloud NGFW 防火墙策略。Palo Alto Networks Cloud NGFW 防火墙策略列表包含与你的 Palo Alto Networks Cloud NGFW 租户关联的所有帕洛阿尔托网络 Cloud NGFW 防火墙策略。有关创建和管理 Palo Alto Networks Cloud NGFW 防火墙策略的信息,请参阅部署 Palo Alto 网络云 NGFWAmazon用Amazon Firewall Manager主题Palo Alto Networks Palo Alto NetworksAmazon部署指南.

  10. 对于Palo Alto Networks Palo Alto Networks Cloud,可以选择为你的策略记录哪种 Palo Alto Networks Cloud NGFW 日志类型。有关 Palo Alto Networks Cloud NGFW 日志类型的信息,请参阅配置 Palo Alto Networks Cloud NetworksAmazon在里面Palo Alto Networks Palo Alto NetworksAmazon部署指南.

    对于日志目标,请指定Firewall Manager 应在何时向其写入日志。

  11. 选择 Next(下一步)。

  12. 下面配置第三方防火墙端点根据您是在使用分布式还是集中式部署模式创建防火墙端点,执行以下其中一项操作:

    • 如果您使用的是此策略的分布式部署模型,请在可用区,选择要在哪些可用区中创建防火墙终端节点。您可以通过以下方式选择可用区可用区名称或者通过可用区 ID.

    • 如果您使用此策略的集中部署模型,请在Amazon Firewall Manager终端节点配置检查 VPC 配置,输入Amazon检查 VPC 的拥有者的账户 ID,以及检查 VPC 的 VPC ID。

      • 下面可用区,选择要在哪些可用区中创建防火墙终端节点。您可以通过以下方式选择可用区可用区名称或者通过可用区 ID.

  13. 选择 Next(下一步)。

  14. 对于策略范围,在下Amazon Web Services 账户本政策适用于,请按如下方式选择选项:

    • 如果要将该策略应用于组织中的所有账户,请保留默认选项,包括我下的所有账户Amazon组织.

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会自动根据您的设置评估任何新帐户。例如,如果您仅包括特定帐户,Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子,如果您包括一个 OU,则当您向该 OU 或其任何子 OU 添加帐户时,Firewall Manager 会自动将策略应用于新帐户。

  15. 这些区域有:资源类型对于Network Firewall 策略,则是VPC.

  16. 对于 Resources (资源),如果要仅保护(或排除)具有特定标签的资源,请选择相应的选项,然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

  17. 对于授予跨账户访问权限,选择下载Amazon CloudFormation模板. 这下载了Amazon CloudFormation你可以用它来创建一个模板Amazon CloudFormation堆栈。这个堆栈创建了一个Amazon Identity and Access Management该角色授予Firewall Manager 跨账户权限来管理 Palo Alto Networks Cloud NGFW 资源。有关堆栈的信息,请参阅使用堆栈在里面Amazon CloudFormation用户指南.

  18. 选择 Next(下一步)。

  19. 对于策略标签,为Firewall Manager 策略添加您想要的任何识别标记。有关标签的更多信息,请参阅使用标签编辑器

  20. 选择 Next(下一步)。

  21. 查看新策略。要进行任何更改,请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略,请选择 Create policy (创建策略)。

有关Firewall Manager Palo Alto Networks Cloud NGFW 策略的更多信息,请参阅帕洛阿尔托网络云 NGFW 政策.