为什么自动修正不适用于我的 Firewall Manager AWS WAF 策略?

1 分钟阅读
0

自动修正不适用于我的 AWS Firewall Manager WAF 策略。

简短描述

Firewall Manager AWS WAF 策略使用自动修正功能将 Web ACL 与您要保护的资源相关联。

解决方法

请遵循以下有关为 AWS WAF 创建 AWS Firewall Manager 策略的最佳实践。

在开始之前,请确保您完成了 AWS Firewall Manager 先决条件。有关详细信息信息,请参阅如何为我的 AWS 账户设置 AWS Firewall Manager?

确保 AWS WAF 策略范围包括以下内容:

  • AWS Organization 或特定组织单位(OU)中的 AWS 账户。
  • 如果您要保护 Amazon CloudFront 分配,请确保将 AWS 区域设置为全球
  • 如果您使用的是托管式规则组,请确保先在 AWS Marketplace 中订阅该服务。有关详细信息,请参阅规则组
  • 对于资源类型,请确保包括要保护的资源类型。注意:选择 CloudFront 分配作为资源类型的选项仅在您选择全球时才可用。
  • 如果您使用的是 AWS Marketplace 卖家提供的规则组,请确保您的 AWS 账户具有活跃订阅。否则,AWS WAF 无法将 Web ACL 与您的范围内资源相关联。
  • 查看策略的效果后,请确保激活自动修正。

对于 AWS WAF Classic,请参阅将 AWS WAF Classic 规则组与 AWS Firewall Manager 配合使用

具有应用程序负载均衡器的 Firewall Manger 策略优先级

场景 1

如果您有针对 AWS Shield Advanced 的策略和针对带有应用程序负载均衡器的 Firewall Manger 的策略,则 Firewall Manger 策略优先。这意味着 Firewall Manager 策略与应用程序负载均衡器相关联,因为它会覆盖 Shield Advanced 策略的 Web ACL。

**注意:**Shield 策略的空白 Web ACL 仅用于捕获进入资源的数据。这些数据可能有助于分析 DDoS 攻击。

场景 2

如果范围内的应用程序负载均衡器有两个 AWS WAF 策略(P1 和 P2),则首先应用达到关联的策略(P1)。第二个策略(P2)检查应用程序负载均衡器是否已有与之关联的 Web ACL。

相关信息

AWS Firewall Manger 常见问题

如何将自定义策略规则与 Firewall Manager 内容审计安全组策略结合使用?

AWS 官方
AWS 官方已更新 1 年前