本页面中描述的服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国区域的亚马逊云科技服务入门页面。中国区域的亚马逊云科技服务入门页面中,仅关于特定服务的“区域可用性”和“功能可用性和实现差异”的部分(但不包括其通过超链接援引的内容)构成您与光环新网或西云数据之间就您使用亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域服务达成的协议(“协议”)项下的“文档”的一部分,而该入门页面的其他内容不构成“协议”的任何部分。
Amazon Firewall Manager 文档
Amazon Firewall Manager是一项安全管理服务,可让您在Amazon Organizations中跨账户和应用程序集中配置和管理防火墙规则。Firewall Manager旨在通过实施一组通用的安全规则,帮助您将新的应用程序和资源达到合规要求。Firewall Manager可用于构建防火墙规则、创建安全策略,并从一个集中的管理员账户以一致、分层的方式执行这些规则和策略。
您可以使用Amazon Firewall Manager为Application Load Balancers、API Gateway和Amazon CloudFront分配推出Amazon WAF规则。您可以使用Amazon Firewall Manager为Application Load Balancers、ELB Classic Load Balancers、弹性IP地址和CloudFront分配创建Amazon Shield高级保护。您还可以为您的Amazon EC2、Application Load Balancer(ALB)和ENI资源类型配置新的Amazon Virtual Private Cloud(VPC)安全组,并审核现有的VPC安全组。您可以跨组织中的账户和VPC部署Amazon Firewall Manager。您还可以使用Amazon Firewall Manager管理器将您的VPN与Amazon Route 53 Resolver DNS Firewall规则相关联。
在VPC上集中部署Amazon Network Firewall
使用Firewall Manager,您可以为Amazon Network Firewall部署防火墙规则,以控制流量通过账户和Amazon VPC从一个位置出入您的网络。集中配置设置规则的任何更改自动部署在您的账户和VPC上。Firewall Manager还报告不合规问题,包括缺少网络防火墙保护的VPC和账户。
部署Amazon VPC安全组、Amazon WAF规则、Amazon Shield高级版保护、Amazon Network Firewall规则和Amazon Route 53 Resolver DNS Firewall规则
您可以在当前存在或将来创建的亚马逊云科技资源上执行策略。Amazon Firewall Manager使客户可以对Application Load Balancer、API Gateway和Amazon CloudFront账户应用Amazon WAF规则以及Amazon WAF的托管规则。您可以对Application Load Balancer或Classic Load Balancer、弹性IP地址或者CloudFront分配应用Amazon Shield Advanced 防护。同样地,您可以使用Amazon Firewall Manager在VPC中的EC2实例之间创建通用的主要安全组。利用Firewall Manager,您可以为VPC自动部署Network Firewall 终端节点和相关规则。同时,Firewall Manager还允许您将VPC与Route 53 Resolver DNS Firewall规则相关联。您可以选择对新创建的资源自动执行规则,也可以选择在创建新资源时收到通知。
多账户资源组
在Amazon Firewall Manager中,您可以按账户、按资源类型和按标记对资源进行分组。您可以为特定组内或组织中各个账户的所有资源创建策略。
跨账户保护策略
Amazon Firewall Manager与Amazon Organizations集成,会自动获取您的Amazon Organization中的账户列表,使您能够跨账户对资源进行分组。首先,构建保护策略,用于定义资源组并将该组与策略相关联。然后,指定策略范围以涵盖特定亚马逊云科技账户集或Organizations中的所有账户。Firewall Manager将仅在基于策略范围的账户中的资源上部署防护。
分层规则执行
Amazon Firewall Manager允许您以分层方式应用保护策略,因此您可以委派创建特定于应用程序的规则,同时保留集中执行某些规则的能力。系统将持续监控集中应用的规则,以防止意外移除或处理不当,从而确保一致地应用这些规则。
带有合规性通知的控制面板
Amazon Firewall Manager提供了一个可视化控制面板,可用于快速查看哪些亚马逊云科技资源受保护、识别不合规的资源并采取适当的措施。您也可以在配置发生更改时通过SNS通知流获得通知。
审计您的VPC中的现有和将来的安全组
借助Amazon Firewall Manager,您可以创建策略来设置保护措施,定义在VPC上允许/不允许的安全组。Amazon Firewall Manager会持续监控安全组以检测过度宽松的规则,并帮助改善防火墙的安全态势。您可以获取不兼容的账户和资源的通知,或允许Amazon Firewall Manager通过自动修复直接采取措施。
亚马逊云科技Marketplace 第三方防火墙支持
Amazon Firewall Manager 允许您跨企业中的所有虚拟私有云(VPC)集中部署和监控亚马逊云科技Marketplace订阅的第三方云防火墙。该服务是一个单一的防火墙管理解决方案,用于部署和管理亚马逊云科技本机防火墙和亚马逊云科技Marketplace订阅的第三方防火墙。您可以自动执行防火墙的跨账户部署、规则的关联和VPC路由的配置,即使在您的企业中创建了新账户和VPC。
其他信息
有关服务控制、安全特性及功能的其他信息,包括有关存储、检索、修改、限制和删除数据的信息,请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技(北京区域)的客户协议或西云数据关于亚马逊云科技(宁夏区域)的客户协议的“文档”的一部分,也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。