步骤 3:创建并应用 Fortigate CNF 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 3:创建并应用 Fortigate CNF 策略

完成先决条件后,您可以创建Amazon Firewall Manager Fortigate CNF 策略。

有关 Fortigate CNF 的Firewall Manager 策略的更多信息,请参阅Fortigate 云原生防火墙 (CNF) 即服务策略

为 Fortigate CNF(控制台)创建Firewall Manager 策略

  1. Amazon Web Services Management Console使用您的 Firewall Manager 管理员帐户登录,然后在上打开 Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy(创建策略)

  4. 对于 “策略类型”,选择 Fortigate CNF。如果您尚未在Amazon Marketplace 中订阅Fortigate CNF服务,则需要先订阅。要在Amazon Marketplace 中订阅,请选择查看Amazon Marketplace 详情

  5. 对于部署模型,选择分布式模型集中式模型。部署模型决定了Firewall Manager 如何管理策略的端点。使用分布式模型,Firewall Manager 在策略范围内的每个 VPC 中维护防火墙终端节点。使用集中式模式,Firewall Manager 在检查 VPC 中维护单个终端节点。

  6. 对于 “区域”,选择Amazon Web Services 区域。要保护多个区域中的资源,您必须为每个区域创建单独的策略。

  7. 选择 Next(下一步)

  9. 在策略配置中,选择要与此策略关联的 Fortigate CNF 防火墙策略。Fortigate CNF 防火墙策略列表包含与你的 Fortigate CNF 租户关联的所有 Fortigate CNF 防火墙策略。有关创建和管理 Fortigate CNF 防火墙策略的信息,请参阅 F ortigate CNF 文档

  10. 选择 Next(下一步)

  11. 在 “配置第三方防火墙端点” 下,执行以下操作之一,具体取决于您使用的是分布式部署模型还是集中部署模型来创建防火墙端点:

    • 如果您使用此策略的分布式部署模型,请在可用区下选择要在哪些可用区域中创建防火墙端点。您可以按可用区名称或可用区 ID 选择可用区

    • 如果您使用此策略的集中部署模型,请在检查 VPC 配置下的Amazon Firewall Manager终端节点配置中,输入检查 VPC 所有者的Amazon账户 ID 和检查 VPC 的 VPC ID。

      • 可用区下,选择要在哪些可用区域中创建防火墙端点。您可以按可用区名称或可用区 ID 选择可用区

  12. 选择 Next(下一步)

  13. 对于Amazon Web Services 账户本策略适用的 “策略范围”,选择以下选项:

    • 如果您想将该政策应用于组织中的所有帐户,请保留默认选择 “包括我的Amazon组织下的所有帐户”

    • 如果只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 Include only the specified accounts and organizational units (仅包括指定的账户和组织单位),然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    • 如果要将策略应用于除特定的一组账户或 Amazon Organizations 组织单位 (OU) 之外的所有其他账户或组织单位,请选择 Exclude the specified accounts and organizational units, and include all others (排除指定的账户和组织单位,并包括所有其他账户和组织单位),然后添加要排除的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。

    您只能选择其中一个选项。

    应用策略后,Firewall Manager 会自动根据您的设置评估所有新帐户。例如,如果您仅包括特定帐户,则 Firewall Manager 不会将该策略应用于任何新帐户。再举一个例子,如果您包含 OU,则当您向该 OU 或其任何子 OU 添加帐户时,Firewall Manager 会自动将策略应用于新帐户。

  14. Network Firewall 策略的资源类型VPC

  15. 对于 Resources (资源),如果要仅保护(或排除)具有特定标签的资源,请选择相应的选项,然后输入要包括或排除的标签。您只能选择一个选项。有关标签的更多信息,请参阅使用标签编辑器

    如果输入多个标签,则资源必须具有要包括或排除的所有标签。

  16. 对于授予跨账户访问权限,请选择下载Amazon CloudFormation模板。这将下载一个可用于创建Amazon CloudFormation堆栈的Amazon CloudFormation模板。此堆栈创建了一个Amazon Identity and Access Management角色,该角色授予Firewall Manager 跨账户权限来管理 Fortigate CNF 资源。有关堆栈的信息,请参阅《Amazon CloudFormation用户指南》中的使用堆栈。要创建堆栈,您需要从 Fortigate CNF 门户中获取账户 ID。

  17. 选择 Next(下一步)

  18. 对于策略标记,为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息,请参阅使用标签编辑器

  19. 选择 Next(下一步)

  20. 查看新策略。要进行任何更改,请在要更改的区域中选择 Edit (编辑)。此操作会将您返回到创建向导中的相应步骤。若您满意所创建的策略,请选择 Create policy (创建策略)。

有关Firewall Manager Fortigate CNF 策略的更多信息,请参阅Fortigate 云原生防火墙 (CNF) 即服务策略