托管列表 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
托管版本控制列表使用托管列表创建自定义托管应用程序列表创建自定义托管协议列表查看托管列表删除自定义托管列表
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管列表

托管应用程序和协议列表简化了Amazon Firewall Manager内容审计安全组策略的配置和管理。您可以使用托管列表来定义您的策略允许和禁止的协议和应用程序。有关内容审计安全组策略的信息,请参阅内容审核安全组策略

您可以在内容审计安全组策略中使用以下类型的托管列表:

  • Fi@@ rewall Manager 应用程序列表和协议列表 — Firewall Manager 管理这些列表。

    • 应用程序列表包括FMS-Default-Public-Access-Apps-AllowedFMS-Default-Public-Access-Apps-Denied,其中描述了应允许或拒绝向公众开放的常用应用程序。

    • 协议列表包括FMS-Default-Protocols-Allowed应允许公众使用的常用协议列表。您可以使用Firewall Manager 管理的任何列表,但不能对其进行编辑或删除。

  • 自定义应用程序列表和协议列表-您可以管理这些列表。您可以使用所需的设置创建任一类型的列表。您可以完全控制自己的自定义管理列表,并且可以根据需要创建、编辑和删除它们。

    注意

    目前,当您删除自定义管理列表时,Firewall Manager 不会检查对该列表的引用。这意味着,即使活动策略正在使用自定义托管应用程序列表或协议列表,也可以将其删除。这可能导致策略停止运行。只有在确认任何有效的策略均未引用应用程序列表或协议列表后,才将其删除。

托管列表是Amazon资源。您可以标记自定义托管列表。您无法标记Firewall Manager 管理列表。

托管版本控制列表

自定义管理列表没有版本。编辑自定义列表时,引用该列表的策略会自动使用更新的列表。

Firewall Manager 管理的列表是版本控制的。Firewall Manager 服务团队根据需要发布新版本,以便将最佳安全实践应用于列表。

在策略中使用 Firewall Manager 管理列表时,您可以按如下方式选择版本控制策略:

  • 最新可用版本-如果您没有为列表指定明确的版本设置,则您的策略会自动使用最新版本。这是通过控制台可用的唯一选项。

  • 显式版本-如果您为列表指定版本,则您的策略将使用该版本。在您修改版本设置之前,您的策略将保持锁定在您指定的版本范围内。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDK。

有关为列表选择版本设置的更多信息,请参阅在内容审计安全组策略中使用托管列表

在内容审计安全组策略中使用托管列表

创建内容审核安全组策略时,您可以选择使用托管审核策略规则。此选项的某些设置需要托管应用程序列表或协议列表。这些设置的示例包括安全组规则中允许的协议,应用程序可以访问互联网。

以下限制适用于使用托管列表的每个策略设置:

  • 您可以为任何设置最多指定一个Firewall Manager 托管列表。默认情况下,您最多可以指定一个自定义列表。自定义列表限制是软配额,因此您可以申请增加配额。有关更多信息,请参阅Amazon Firewall Manager 配额

  • 在控制台中,如果您选择Firewall Manager 管理列表,则无法指定版本。该政策将始终使用最新版本的列表。要指定版本,您必须在控制台之外定义策略,例如通过 CLI 或其中一个 SDK。有关Firewall Manager 管理列表版本控制的信息,请参阅托管版本控制列表

有关通过控制台创建内容审核安全组策略的信息,请参阅创建内容审核安全组策略

创建自定义托管应用程序列表

创建自定义托管应用程序列表

  1. Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户登录,然后在上打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择应用程序列表

  3. 应用程序列表页面中,选择创建应用程序列表

  4. 创建应用程序列表页面中,为您的列表命名。不要使用前缀,fms-因为这是为Firewall Manager 保留的。

  5. 通过提供协议和端口号或从类型下拉列表中选择应用程序来指定应用程序。为您的应用程序规范命名。

  6. 根据需要选择 “添加其他人”,然后填写申请信息,直到您完成列表。

  7. (可选)将标签应用于列表。

  8. 选择 “存” 保存您的列表并返回 “应用程序列表” 页面。

创建自定义托管协议列表

创建自定义托管协议列表

  1. Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户登录,然后在上打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Policies listies

  3. 协议列表页面中,选择创建协议列表

  4. 在协议列表创建页面中,为您的列表命名。不要使用前缀,fms-因为这是为Firewall Manager 保留的。

  5. 指定协议。

  6. 根据需要选择添加其他协议并填写协议信息,直到您完成列表。

  7. (可选)将标签应用于列表。

  8. 选择 “存” 保存您的列表并返回 “协议列表” 页面。

查看托管列表

查看应用程序列表或协议列表

  1. Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户登录,然后在上打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择应用程序列表协议列表

    该页面显示可供您使用的选定类型的所有列表。Firewall Manager 管理的列表的ManagedList列中有 Y

  3. 要查看列表的详细信息,请选择其名称。详情页面显示列表的内容和所有标签。

    对于Firewall Manager 管理列表,您还可以通过选择 “版本” 下拉列表来查看可用版本

删除自定义托管列表

您可以删除自定义管理列表。您无法编辑或删除Firewall Manager 管理器管理的列表。

注意

目前,当您删除自定义管理列表时,Firewall Manager 不会检查对该列表的引用。这意味着,即使活动策略正在使用自定义托管应用程序列表或协议列表,也可以将其删除。这可能导致策略停止运行。只有在确认任何有效的策略未引用应用程序列表或协议列表后,才将其删除。

删除自定义托管应用程序或协议列表

  1. Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户登录,然后在上打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 通过执行以下操作,确保您要删除的列表未在任何审计安全组策略中使用:

    1. 在导航窗格中,选择 Security policies (安全策略)。

    2. Amazon Firewall Manager策略页面中,选择并编辑您的审计安全组,并删除对要删除的自定义列表的任何引用。

      如果您删除审计安全组策略中使用的自定义托管列表,则使用该列表的策略可能会停止运行。

  3. 在导航窗格中,选择应用程序列表协议列表,具体取决于要删除的列表类型。

  4. 在列表页面中,选择要删除的自定义列表,然后选择 Delete(删除)。