Amazon Firewall Manager 功能

通过使用 Network Firewall，您的安全管理员可以为 Amazon Network Firewall 部署防火墙规则，在一个位置控制跨账户和 Amazon VPC 传入和传出您的网络的流量。对集中配置的规则集所做的任何更改都会自动部署到您的账户和 VPC。这使得安全管理员可以一致地强制执行组织中的集中规定的防火墙规则，即便是在组织中创建的新账户和 VPC。同时，Firewall Manager 还可以报告不合规问题，包括任何缺少 Network Firewall 保护的 VPC 和账户。

您可以对目前已经存在或者将在未来创建的亚马逊云科技资源强制执行策略，从而确保符合组织中的防火墙规则。Amazon Firewall Manager 使客户能够对应用程序负载均衡器和 API 网关应用 Amazon WAF 规则以及适用于 Amazon WAF 的托管式规则。同样，您也可以使用 Amazon Firewall Manager 为子网创建网络 ACL 或为 VPC 中的不同 EC2 实例创建通用主安全组。 借助 Firewall Manager，您可以自动为您的 VPC 部署 Network Firewall 端点和相关规则。同时，Firewall Manager 还允许您将您的 VPC 与 Route 53 Resolver DNS 防火墙规则相关联。您可以选择自动对新创建的资源强制执行规则，也可以选择在新资源创建后收到通知。

在 Amazon Firewall Manager 内，您可以按账户、资源类型和标签对资源进行分组。您的安全团队可以为特定组或组织中的账户内的所有资源创建策略。

Amazon Firewall Manager 与 Amazon Organizations 集成，并将自动提取组织中的账户列表，从而使您能够对账户中的资源进行分组。首先，您需要构建保护策略，以定义资源组并将该组与策略关联在一起。然后，您需要将策略范围指定为覆盖特定账户集或组织的所有账户。Firewall Manager 将会根据策略范围只对账户中的资源部署保护。

Amazon Firewall Manager 使您能够以分层方式应用保护策略，因此，您可以在保留集中强制执行某些规则的同时委派创建特定于应用程序的规则。将会持续监控集中应用的规则是否存在任何意外删除或错误处理，从而确保这些规则得到一致地应用。  

Amazon Firewall Manager 提供有可视化控制面板，您可以在其中快速查看哪些资源受到保护、识别不合规资源并采取相应的措施。当配置发生更改时，还会通过 SNS 通知流向您发送通知。