AWS Firewall Manager 常见问题

问：什么是 AWS Firewall Manager？

AWS Firewall Manager 是一项安全管理服务，可让您在 AWS Organization 中跨账户和应用程序集中配置和管理防火墙规则。在创建新应用程序时，您可以借助 Firewall Manager 实施一套通用的安全规则，轻松地让新应用程序和资源从一开始就达到合规要求。现在您可以使用单一服务来构建防火墙规则、创建安全策略，并在整个基础设施中以一致、分层的方式执行这些规则和策略。

问：AWS Firewall Manager 的主要优势是什么？

AWS Firewall Manager 集成了 AWS Organizations，因此您可以从单一位置跨多个 AWS 账户和资源启用 AWS WAF 规则、AWS Shield 高级防护、VPC 安全组、AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall 规则。Firewall Manager 监控新资源或创建的账户，以确保它们从一开始就符合强制性安全策略集。您可以在整个基础设施中组合规则、创建策略，并集中地应用这些策略。例如，您可以在单个账户内委托创建特定应用程序的规则，同时保留跨账户实施全局安全策略的能力。您的安全团队可以收到有关组织受威胁的通知，以便他们能够响应并快速缓解攻击。

Firewall Manager 还集成了适用于 AWS WAF 的托管规则，这使您能够轻松地将预先配置的 WAF 规则部署在应用程序前面。

安全管理员可以利用 Firewall Manager 为您的 Amazon VPC 中的 EC2 实例、Application Load Balancer 和 Elastic Network Interface (ENI) 应用一组安全组基线规则。同时，您还可以从一个位置对您的 VPC 中的任何现有的安全组进行过度宽松的规则审计，并对它们进行修复。

您可以利用 Firewall Manager 跨您组织中的 VPC 集中部署 AWS Network Firewall 终端节点和关联规则，以控制离开和进入您的网络的流量。 同时，您还可以使用 Firewall Manager 将不同账户中的 VPC 与 Route 53 Resolver DNS Firewall 规则相关联，以阻止针对已知恶意域的 DNS 查询，并且允许针对受信任域的查询。

问：AWS Firewall Manager 配置什么？

使用 AWS Firewall Manager，您可以跨您组织中的账户和资源集中配置 AWS WAF 规则、AWS Shield 高级防护、Amazon Virtual Private Cloud (VPC) 安全组、AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall 规则。

问：AWS Firewall Manager 能否配置 VPC 安全组或网络 ACL？

能。AWS Firewall Manager 确实支持配置 VPC 安全组。但是目前还不支持配置网络 ACL。

问：AWS Firewall Manager 可以在哪些 AWS 资源上配置规则？

使用 AWS Firewall Manager，您可以 

• 轻松地跨 Application Load Balancer、API 网关和 Amazon CloudFront 分配推出 AWS WAF 规则。 
• 您可以为 Application Load Balancer、ELB Classic Load Balancer、弹性 IP 地址和 CloudFront 分配创建 AWS Shield 高级防护。 
• 您可以配置新的 Amazon Virtual Private Cloud (VPC) 安全组并为您的 Amazon EC2、Application Load Balancer (ALB) 和 ENI 资源类型审计任何现有的安全组。 
• 您还可以在组织的不同账户和 VPC 中部署 AWS Network Firewalls。
  
• 最后，利用 AWS Firewall Manager，您还可以将组织不同 VPC 中的 Amazon Route 53 Resolvers DNS Firewall 规则相关联。
  

问：AWS Firewall Manager 的费用是多少？

单击此处可查看 AWS Firewall Manager 的定价。

问：AWS Firewall Manager 在哪些区域可用？

请访问 AWS 区域表，以查看 AWS Firewall Manager 的当前可用区域。

问：AWS Firewall Manager 的先决条件是什么？

使用 AWS Firewall Manager 有三个必要的先决条件和一个可选的先决条件。

• AWS Organizations – 您的账户必须是 AWS Organizations 的组成部分，并且已启用所有功能。有关更多详细信息，请参阅 AWS Organizations 文档。
• 设置 AWS Firewall Manager 管理员账户 – Firewall Manager 必须与 AWS 组织的管理账户相关联，或与具有相应权限的成员账户相关联。您与 Firewall Manager 关联的账户称为 Firewall Manager 管理员账户。有关更多信息，请参阅文档指南。
  
• 在账户上启用 AWS Config – 为组织中的每个成员账户启用 AWS Config。请参阅 AWS Config 文档。
• 启用 AWS Resource Access Manager（可选） - 要启用 Firewall Manager 来跨账户和 VPC 集中配置 AWS Network Firewall 或关联 Amazon Route 53 Resolver DNS Firewall 规则，您必须先使用 AWS Resource Access Manager 启用资源的共享。

问：如何使用 AWS Firewall Manager？

• 首先，满足上述先决条件。
• 其次，为 AWS WAF、AWS Shield 高级版、VPC 安全组、AWS Network Firewall 或 Amazon Route 53 Resolver DNS Firewall 创建策略类型。
• 第三，根据策略，指定规则或防护集。例如，对于 AWS WAF 的策略，指定您希望跨账户部署的规则组（自定义或托管）。同样地，对于 VPC 安全组策略，请参考要在账户内的每个资源中复制的安全组。对于 AWS Network Firewall，请指定您要跨账户中的 VPC 部署的规则组（有状态和无状态）。对于 Amazon Route 53 Resolver DNS Firewall，请指定您要与账户中的 VPC 关联的规则集（规则组）。
• 第四，通过选择账户、资源类型以及您希望在其中部署策略的资源标签（可选）指定策略范围。
• 最后，您可以查看并创建策略。Firewall Manager 将跨账户将规则和防护自动应用于所有资源。一旦完成，Firewall Manager 还将显示合规性控制面板，以指示任何不合规及合规的账户/资源。

问：我是否可以创建 Firewall Manager 策略，但不自动修正？

是，您可以在以下两种模式下配置 Firewall Manager 策略 –

• 自动修正，这一模式使您可以自动监控策略中的偏差，并对不合规资源应用规则
• 手动修正，这一模式使您可在每个账户中创建新策略和关联的规则/防护，但不对账户中的资源强制执行规则。使用手动修正创建策略后，您可以选择对每个本地账户采取手动操作，或者随时可以编辑策略以自动修正。
  

问：AWS Firewall Manager 可以管理多少个账户？

每个 Firewall Manager 策略的范围最多可以有 2500 个账户，这是 AWS Organizations 中账户数量的默认限制。

问：AWS Firewall Manager 可以管理多少个资源？

目前 Firewall Manager 管理的资源数量没有限制。

问：我是否可以跨区域创建安全策略？

否，AWS Firewall Manager 安全策略是区域特定的。每个 Firewall Manager 策略只能包含在指定的 AWS 区域中可用的资源。您可以为您运营的每个区域创建新策略。

问：我是否可以从策略范围中排除账户或资源？

可以。您可以排除账户。您还可以使用标签来指定应从策略范围中排除的资源。

问：什么是 Firewall Manager 安全策略？

Firewall Manager 安全策略是一组配置，可供客户指定需要关联一组防火墙规则的账户和资源；以及针对每种防火墙类型自定义的其他配置。Firewall Manager 如今支持 AWS WAF、AWS Shield Advanced、VPC 安全组、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall 和 AWS Marketplace 第三方防火墙。

问：如何查看特定策略的合规性状态？

借助 Firewall Manager，您可以通过查看策略范围内包含的账户数量以及其中合规账户的数量，快速查看每个策略的合规性状态。此外，在 Firewall Manager 上配置的每个策略都有一个合规性控制面板。中央合规性控制面板可用于查看哪些账户不符合给定策略，哪些特定资源不合规，还提供有关特定资源不合规的原因的信息。 您还可以在 AWS Security Hub 上查看每个账户的不合规事件。

问：当资源不合规时，AWS Firewall Manager 是否提供通知？

是，您可以创建新的 SNS 通知通道，以便在发现新的不合规资源时收到实时通知。 同样地，对于 AWS Security Hub 上的不合规事件，也会通知属于 Firewall Manager 策略范围一部分的每个账户。

问：我如何查看我的组织中的所有威胁？

对于创建的每个 Firewall Manager 策略，您可以为规则组中的每个规则聚合 CloudWatch 指标，指示整个组织中允许或阻止的请求数量。这为您提供了一个中心位置来为组织中的威胁设置警报。