Amazon Firewall Manager 常见问题

问：什么是 Amazon Firewall Manager？

Amazon Firewall Manager 是一项安全管理服务，使您能够在 Amazon Organizations 中跨账户和应用程序集中配置和管理防火墙规则。随着您创建新应用程序，Firewall Manager 可以通过强制实施一组通用的安全规则，轻松使新的应用程序和资源保持合规。现在，您可以使用单项服务来构建防火墙规则、创建安全策略，并在整个基础设施中以一致、分层的方式实施这些规则。

问：Amazon Firewall Manager 的主要优势是什么？

Amazon Firewall Manager 与 Amazon Organizations 集成，因此您可以从一个位置跨多个亚马逊云科技账户和资源启用 Amazon WAF 规则。Firewall Manager 可对创建的新资源或账户进行监控，以确保它们从一开始就遵循一组强制性的安全策略。您可以对规则进行分组、构建策略，并在整个基础设施中集中应用这些策略。例如，您可以委托在账户内创建特定于应用程序的规则，同时保留跨账户强制执行全局安全策略的能力。安全团队可以收到组织面临的威胁的通知，以便能够做出响应并快速缓解攻击。

问：Amazon Firewall Manager 可以针对哪些亚马逊云科技资源类型配置 Amazon WAF 规则？

您可以跨 Application Load Balancers 和 API Gateway 推出 Amazon WAF 规则。

问：Amazon Firewall Manager 的费用是多少？

可从此处获取 Amazon Firewall Manager 定价。 

问：使用 Amazon Firewall Manager 的先决条件是什么？

使用 Amazon Firewall Manager 需要满足三个强制性先决条件和一个可选先决条件。

• Amazon Organizations – 您的账户必须是 Amazon Organizations 的一部分并且已启用所有功能。有关更多详细信息，请参阅 Amazon Organizations 文档。
• 设置 Amazon Firewall Manager 管理员账户 – Firewall Manager 必须与 Amazon Organizations 的管理账户相关联，或与具有适当权限的成员账户相关联。与 Firewall Manager 关联的账户称为 Firewall Manager 管理员账户。有关更多信息，请参阅文档指南。
• 在账户上启用 Amazon Config – 为组织中的每个成员账户启用 Amazon Config。请参阅 Amazon Config 文档。
  

问：如何使用 Amazon Firewall Manager？

• 首先，请完成上述先决条件。
• 其次，为 Amazon WAF 创建安全策略类型
• 第三，按评估优先级顺序，指定要跨账户部署的规则组（自定义或托管）。
• 第四，通过选择要在其中部署防火墙规则的账户、资源类型和（可选）资源标记，指定策略的范围。
• 最后，您可以查看并创建策略。Firewall Manager 会自动将规则应用于各个账户中的所有资源。完成后，Firewall Manager 还会显示一个合规性控制面板，指示任何不合规和合规的账户/资源。

问：是否可以创建 Firewall Manager 策略而不自动补救？

是的，您可以在以下两种模式下配置 Firewall Manager 策略 –

• 自动补救，允许您自动监控策略偏差情况并对不合规的资源应用相关规则
• 手动补救，在每个账户中创建新策略和相关的规则/保护措施，但不对账户中的资源强制执行规则。在手动补救模式下创建策略后，您可以选择对每个本地账户采取手动操作，也可以随时编辑策略以自动补救。

问：Amazon Firewall Manager 可以管理多少个账户？

每个 Firewall Manager 策略可限定为最多具有 2,500 个账户，这是 Amazon Organizations 中的默认账户数量限制。

问：Amazon Firewall Manager 可以管理多少资源？

目前，Firewall Manager 管理的资源数量没有限制。

问：是否可以跨区域创建保护策略？

不可以，Amazon Firewall Manager 保护策略是特定于区域的。每个 Firewall Manager 策略都只能包含该指定亚马逊云科技区域中可用的资源。您可以为运营所在的每个区域创建新策略。

问：是否可以将账户或资源排除在策略范围之外？

可以。您可以排除账户。您还可以使用标签来指定应从策略范围中排除的资源。 

问：如何查看特定策略的合规性状态？

借助 Firewall Manager，通过查看策略范围内包含多少个账户以及其中有多少个合规账户，您可以快速了解每个策略的合规性状态。此外，对于在 Firewall Manager 上配置的每个策略，都会提供一个合规性控制面板。通过中央合规性控制面板，您可以查看哪些账户不符合给定策略的要求、哪些特定资源不合规，还可以了解特定资源不合规的相关原因。您还可以在 Amazon Security Hub 上查看每个账户的不合规事件。

问：当资源不合规时，Amazon Firewall Manager 是否会提供通知？

是的，您可以创建新的 SNS 通知渠道，以便在发现新的不合规资源时接收实时通知。同样，作为 Firewall Manager 策略的一部分，每个账户都会收到有关 Amazon Security Hub 上的不合规事件的通知。

问：如何查看组织中的所有威胁？

对于创建的每个 Firewall Manager 策略，您可以聚合规则组中每个规则的 Amazon CloudWatch 指标，指示整个组织中允许或阻止的请求数。这为您提供了一个为整个组织内的威胁设置警报的中心位置。