一般性问题

什么是 AWS Firewall Manager?

AWS Firewall Manager 是一款安全管理工具,可让您更轻松地在账户间配置 AWS WAF 规则。借助 Firewall Manager,大型组织的安全管理员只需这一个工具即可编写整个公司的所有规则,在 AWS WAF 保护的应用程序中强制执行这些规则,以及集中查看针对您的 Application Load Balancer 和 Amazon CloudFront 基础设施的攻击。

AWS Firewall Manager 的主要优势是什么?

AWS Firewall Manager 集成了AWS Organizations,因此您可以从单一地点跨多个 AWS 账户和资源启用 AWS WAF。AWS Firewall Manager 监控新资源或创建的账户,以确保它们从一开始就符合强制性安全策略集。例如,您现在可以通过阻止 IP 地址或应用 CVE 补丁更新从一个地方快速响应事件。借助 AWS Firewall Manager,您的安全团队可以收到有关组织受威胁的通知,以便他们能够响应并快速缓解攻击。最后,AWS Firewall Manager 还与 AWS WAF 的托管规则集成,这使您可以轻松地在应用程序前面部署预配置的 WAF 规则。

AWS Firewall Manager 能够配置什么内容?

借助 AWS Firewall Manager,可以在一组资源上轻松配置和应用 AWS WAF 规则以及 AWS WAF 的托管规则,这些资源可能包括跨多个 Application Load Balancer 和 Amazon CloudFront 账户的资源。

AWS Firewall Manager 能否配置 VPC 安全组或网络 ACL?

否,AWS Firewall Manager 不能配置 VPC 安全组或网络 ACL。

AWS Firewall Manager 可以在哪些 AWS 资源上配置规则?

AWS Firewall Manager 可以用于 AWS WAF 支持的资源,特别是 Application Load Balancer 和 Amazon CloudFront 分配。

AWS Firewall Manager 的费用是多少?

AWS Firewall Manager 的定价在此处提供

AWS Firewall Manager 在哪些区域可用?

请访问 AWS 区域表,以查看 AWS Firewall Manager 的当前可用区域。

启用 AWS Firewall Manager

AWS Firewall Manager 的先决条件是什么?

使用 AWS Firewall Manager 有三个先决条件。

  • AWS Organizations – 您的账户必须是 AWS Organizations 的组成部分,并且已启用所有功能。有关更多详细信息,请参阅 AWS Organizations 文档
  • 设置 AWS Firewall Manager 管理员账户 – Firewall Manager 必须与 AWS 组织的主账户相关联,或与具有相应权限的成员账户相关联。您与 Firewall Manager 关联的账户称为 Firewall Manager 管理员账户。有关更多信息,请参阅文档指南
  • 在账户上启用 AWS Config – 为组织中的每个成员账户启用 AWS Config。请参阅 AWS Config 文档

 

如何使用 AWS Firewall Manager?

  • 首先,满足上述先决条件。
  • 其次,创建自定义规则组,或通过 AWS WAF 的托管规则订阅由 Marketplace 供应商提供的托管规则组。
  • 第三,通过选择资源类型并 (可选) 选择标签来指定 Firewall Manager 策略范围。
  • 最后,您可以查看并创建策略。Firewall Manager 将自动将 WAF 规则组应用于跨账户的所有资源,一旦完成,Firewall Manager 还会显示一个合规性控制面板,用于指示哪些账户/资源合规,哪些不合规。

我是否可以创建 Firewall Manager 策略,但不自动修正?

是,您可以在以下两种模式下配置 Firewall Manager 策略 -

  • 自动修正,这一模式使您可以自动监控策略中的偏差,并对不合规资源应用规则。
  • 手动修正,这一模式使您可在每个账户中创建新策略和关联的 WAF 规则组,但不对账户中的资源强制执行规则。使用手动修正创建策略后,您可以选择从每个本地账户所有者采取手动操作,或者随时可以编辑策略以自动修正。

AWS Firewall Manager 可以管理多少个账户?

每个 Firewall Manager 策略可以在最多 2500 个账户上配置 WAF 规则,这是 AWS Organizations 中账户数量的默认限制。

AWS Firewall Manager 可以管理多少个资源?

目前 Firewall Manager 管理的资源数量没有限制。

我是否可以跨地区创建保护策略?

否,AWS Firewall Manager 保护策略是地区特定的。每个 Firewall Manager 策略只能包含指定的 AWS 地区中可用的资源。您可以为您运营的每个地区创建新策略。

我是否可以从策略范围中排除账户或资源?

可以。您可以使用标签来指定应从策略范围中排除的资源。

控制面板和可见性

如何查看特定策略的合规性状态?

借助 Firewall Manager,您可以通过查看策略范围内包含的账户数量以及其中合规账户的数量,快速查看每个策略的合规性状态。此外,在 Firewall Manager 上配置的每个策略都有一个合规性控制面板。中央合规性控制面板可用于查看哪些账户不符合给定策略,哪些特定资源不合规,还提供有关特定资源不合规的原因的信息。

当资源不合规时,AWS Firewall Manager 是否提供通知?

是,您可以创建新的 SNS 通知通道,以便在发现新的不合规资源时收到实时通知。

我如何查看我的组织中的所有威胁?

对于创建的每个 Firewall Manager 策略,您可以为规则组中的每个规则合计 CloudWatch 指标,指示整个组织中允许或阻止的请求数量。这为您提供了一个中心位置来为组织中的威胁设置警报。

了解有关 AWS Firewall Manager 定价的更多信息

访问定价页面
准备好开始构建?
开始使用 AWS Firewall Manager
还有更多问题?
联系我们