一般問題

什麼是 AWS Firewall Manager?

AWS Firewall Manager 是一款安全管理工具,可讓您更輕鬆地在各個帳戶中設定 AWS WAF 規則。藉助 AWS Firewall Manager,大型機構的安全管理員可以在單一位置撰寫全公司適用的規則,在受到 AWS WAF 保護的所有應用程式執行這些規則,還能集中監控針對 Application Load Balancer 和 Amazon CloudFront 基礎設施的攻擊。

AWS Firewall Manager 的主要優勢是什麼?

AWS Firewall Manager 已經與 AWS Organizations 整合,因此您可從單一位置為多個 AWS 帳戶和資源啟用 AWS WAF。AWS Firewall Manager 會監控新資源或已建立的帳戶,以確保它們從一開始便符合一組強制性的安全政策。您現在有一個地方可以快速針對事件做出反應,例如,封鎖 IP 地址或套用 CVE 修補程式更新。您的安全團隊可以透過 AWS Firewall Manager 收到有關組織受到威脅的通知,以便他們能夠做出反應並快速阻擋攻擊。最後,AWS Firewall Manager 還整合 AWS WAF 受管規則,讓您可以輕鬆地在應用程式前方部署預先設定的 WAF 規則。

AWS Firewall Manager 設定哪些項目?

您可以透過 AWS Firewall Manager 在資源群組輕鬆設定和套用 AWS WAF 規則以及 AWS WAF 受管規則,這些資源可能包括各個 Application Load Balancer 和 Amazon CloudFront 帳戶的資源。

AWS Firewall Manager 是否會設定 VPC 安全群組或網路 ACL?

否,AWS Firewall Manager 不會設定 VPC 安全群組或網路 ACL。

AWS Firewall Manager 可以在哪些 AWS 資源上設定規則?

AWS Firewall Manager 支援 AWS WAF 接受的資源,特別是 Application Load Balancer 和 Amazon CloudFront 分發。

AWS Firewall Manager 的費用為何?

這裡提供 AWS Firewall Manager 的定價。

哪些區域提供 AWS Firewall Manager ?

請參閱 AWS 區域表,了解目前提供 AWS Firewall Manager 的區域。

啟用 AWS Firewall Manager

AWS Firewall Manager 的先決條件是什麼?

使用 AWS Firewall Manager 有三個先決條件。

  • AWS Organizations – 您的帳戶必須是 AWS Organizations 的一部分,並且已啟用所有功能。如需詳細資訊,請參閱 AWS Organizations 文件
  • 設定 AWS Firewall Manager 管理員帳戶 – AWS Firewall Manager 必須與您 AWS Organization 的主帳戶關聯,或與具有適當許可的成員帳戶關聯。與 Firewall Manager 關聯的帳戶稱為 Firewall Manager 管理員帳戶。請參閱 文件指南,了解詳細資訊。
  • 在帳戶上啟用 AWS Config – 為組織中的每個成員帳戶啟用 AWS Config。請參閱 AWS Config 文件

 

如何使用 AWS Firewall Manager?

  • 第一,符合上述先決條件。
  • 第二,建立自訂的規則群組,或透過 AWS WAF 受管規則訂閱由 Marketplace 供應商提供的受管規則群組。
  • 第三,選擇資源類型並視情況選擇標籤,以指定 Firewall Manager 政策範圍。
  • 最後,您可以檢查以及建立政策。Firewall Manager 會自動將 WAF 規則群組套用至各個帳戶的所有資源,而且當完成後,Firewall Manager 還會顯示一個合規儀表板,用於指示哪些帳戶/資源合規、哪些不合規。

是否可以建立 Firewall Manager 政策,但不自動修復?

可以的,您可以在兩種模式下設定 Firewall Manager 政策 –

  • 自動修復,允許您自動監控政策的偏離,並將規則套用至不合規的資源
  • 手動修復,它在每個帳戶中建立新政策和關聯的 WAF 規則群組,但不強制針對帳戶的資源執行規則。建立具備手動修復功能的政策後,您可以選擇從每個本機帳戶擁有者執行手動操作,或者在任何時候編輯政策來自動修復。

AWS Firewall Manager 可以管理多少個帳戶?

每個 Firewall Manager 政策最多可在 2,500 個帳戶設定 WAF 規則,這是 AWS Organizations 中預設的帳戶數量限制。

AWS Firewall Manager 可以管理多少個資源?

目前 Firewall Manager 管理的資源數量沒有限制。

是否可以建立跨區域的保護政策?

不可以,AWS Firewall Manager 保護政策有區域上的限制。每個 Firewall Manager 政策只能包含該指定 AWS 區域中的可用資源。您可以為您經營的每個區域建立新政策。

是否可以從政策範圍中排除帳戶或資源?

是。您可以使用標籤來指定應該從政策範圍中排除的資源。

儀表板和可見性

如何查看特定政策的合規狀態?

使用 Firewall Manager 時,透過查看政策範圍內包含多少個帳戶以及這些帳戶中有多少帳戶符合要求,便能快速檢視各個政策的合規狀態。此外,在 Firewall Manager 上設定的每個政策都會有一個合規儀表板。中央合規儀表板允許您查看哪些帳戶不符合既定政策、哪些特定資源不合規,還提供特定資源不合規的原因相關資訊。

AWS Firewall Manager 是否會在資源不合規時提供通知?

是,您可以建立新的 SNS 通知管道,以便在發現新的不合規資源時收到即時通知。

如何查看整個組織的所有威脅?

針對每個建立的 Firewall Manager 政策,您可以為規則群組中的每個規則彙整 CloudWatch 指標,以此指示整個組織允許或封鎖的請求數目。這樣您便可以在集中的位置為組織的各種威脅設定提醒。

進一步了解 AWS Firewall Manager 定價

瀏覽定價頁面
準備好開始建立?
開始使用 AWS Firewall Manager
還有其他問題嗎?
聯絡我們