第 3 步：创建和应用Network Firewall 策略

创建 FirewFirewall Manager Network Firewall 策略

1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户，然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 如果您未满足先决条件，控制台将显示有关如何修复任何问题的说明。按照说明进行操作，然后返回到此步骤，创建Network Firewall 策略。

4. 选择创建安全策略.

5. 对于 Policy type (策略类型)，选择 Amazon Network Firewall。

6. 对于区域，请选择一个Amazon Web Services 区域.

7. 选择 Next（下一步）。

8. 对于策略名称，输入一个描述性的名称。

9. 策略配置允许您定义防火墙策略。这与您在中使用的过程相同Amazon Network Firewall控制台。您可以添加要在策略中使用的规则组，并提供默认的无状态操作。在本教程中，请像在Network Firewall 中配置防火墙中的防火墙策略一样配置此策略。

   注意

   自动修复会自动进行Amazon Firewall ManagerNetwork Firewall 策略，因此您不会在此处看到选择不auto 修复的选项。

10. 选择 Next（下一步）。

11. 对于防火墙端点，选择多个防火墙端点. 此选项为您的防火墙提供高可用性。创建策略时，Firewall Manager 会在每个有公有子网需要保护的可用区中创建一个防火墙子网。

12. 对于Amazon Network Firewall路由配置，选择显示器让 Firewall Manager 监控您的 VPC 是否存在路由配置违规情况，并提醒您提供补救建议，以帮助您使路由合规。（可选）如果您不想让 Firewall Manager 监控您的路由配置并接收这些警报，请选择Off.

    注意

    监控可为您提供有关由于路由配置错误而导致的不合规资源的详细信息，并建议Firewall Manager 采取补救措施GetViolationDetailsAPI。例如，如果流量未通过您的策略创建的防火墙端点进行路由，则Network Firewall 会提醒您。

    警告

    如果选择显示器，您将无法将其更改为Offfuture 会采用同样的政策。您必须创建新策略。

13. 对于流量类型，select添加到防火墙策略通过互联网网关路由流量。

14. Amazon Web Services 账户受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程，选择 Include all accounts under my organization (包括我的组织下的所有账户)。

15. 这些区域有：资源类型对于Network Firewall 策略始终为VPC.

16. Resources (资源) 允许您通过指定要包含还是排除的资源标签，缩小策略的范围。要使用标签，您需要先标记资源。有关标记资源的更多信息，请参阅使用标签编辑器。对于本教程，选择 Include all resources that match the selected resource type (包括与所选资源类型匹配的所有资源)。

17. 选择 Next（下一步）。

18. 检查您的策略设置，然后SELECT创建策略.

    在Amazon Firewall Manager策略窗格中，您的策略已列出。策略的创建可能需要几分钟的时间。在创建过程完成之前，策略会显示其处于待处理状态。当策略准备就绪时，状态会随着范围内账户的数量而更新。您可以选择策略名称来浏览账户和资源的合规性状态。有关信息，请参阅。查看Amazon Firewall Manager策略的合规性信息

19. 浏览完毕后，如果您不想保留为本教程创建的策略，请选择策略名称，选择Delete，选择清理此策略创建的资源。，最后选择Delete.