如何通过 AWS Firewall Manager 在组织内强制实施 AWS WAF ACL 的安全

• 2026-01-27 13:55:46

在组织中使用 AWS Firewall Manager 强制执行 AWS WAF ACL 安全基准

重要要点

大多数组织优先考虑保护其暴露于互联网的网络应用程式。使用 AWS WAF 服务，你可以创建规则来控制机器人流量，帮助防止帐户盗用和阻止常见的威胁模式如 SQL 注入或跨站脚本攻击。对于管理多帐户环境的客户，使用 AWS Firewall Manager 可以在整个组织中强制执行 AWS WAF 存取控制列表ACL的安全基准。

在之前的 AWS 安全博客文章 中，有很好的解释如何创建 Firewall Manager 政策以在多个帐户中部署 AWS WAF ACL。此外，这篇文章增加了对于 AWS 结构博客文章 的深入探讨，描述了在 AWS 环境中网络应用程序的安全治理操作模型。这篇文章将展示如何在中央或混合操作模型中创建政策，以强制执行 AWS WAF ACL 中的安全基准，同时允许应用程序管理员或开发人员根据其特定用例应用特定的 ACL 规则。

中央管理防火墙政策

在一个组织中，安全团队通常希望在多个应用程式中实施一套安全基准，这套基准由一组规则组成，这些应用程式分散在多个帐户中。这些规则并不总是适用于所有工作负载，因为不同的应用程式可能对保护的需求或公开程度不同。此外，有时负责管理应用程式的本地团队拥有创建自己规则的权限，并决定不遵循组织强制的政策。

AWS Firewall Manager 通过允许你中央配置和管理防火墙政策，部署预先配置的 AWS WAF 规则来解决这一问题，同时自动在现有资源和新创建的资源中强制执行这些政策。

以下架构图描述了如何从一个中央安全帐户设计一个 Firewall Manager 政策，在你的组织内建立一个安全基准，并在其他成员帐户中强制执行。为此，你需要创建一个管理的 AWS WAF ACL，首尾的规则组不可编辑，但允许成员帐户的管理员修改自定义规则组。

Firewall Manager 委任管理员

截至本文章发布时，Firewall Manager 支持最多10位管理员通过应用范围条件管理你的组织中的防火墙资源。例如，你可以定义特定帐户的管理员，甚至是整个组织单位OU、AWS 区域或政策类型。使用这个 功能，可以强制遵循最小特权访问原则，并指定管理员以更细致的方式强制执行组织中 AWS ACL 规则的安全基准。这一委任需要从 AWS Organizations 管理帐户完成，如图2所示。

Firewall Manager 政策

Firewall Manager 政策包含将应用于受保护资源的规则组。该服务会在每个执行政策的帐户中创建一个网络 ACL。帐户管理员可以将规则或规则组添加到所产生的网络 ACL 中，除了 Firewall Manager 政策定义的规则组外。

规则组

由 Firewall Manager 政策管理的 AWS WAF ACL 包含三组规则，这些规则为 ACL 提供了更高的优先级。AWS WAF 按照以下顺序评估规则组：

在每个规则集中，AWS WAF 根据其优先级设置评估规则，从最低编号的规则开始，直到找到匹配的规则结束评估，或所有规则评估完毕。

安全基准政策

图3显示了一个 Firewall Manager 政策的示例，将作为你组织的安全网络 ACL 基准。这个政策应该在一个委任的管理帐户中创建，并在管理员拥有权限的所有或特定帐户中执行。请参阅 服务文档 获取此类政策设置的其他指导。

首个规则组

该政策中的首个规则组将包含以下内容：

最后的规则组

该政策中的最后的规则组将包含以下内容：

这一配置将允许各个帐户的管理员根据具体用例和预期请求数量定义并包含其自己的规则以保护应用程序。

在设计自己的安全基准时，请考虑某些管理规则如机器人控制可能会产生额外费用，并且在整个组织中强制执行将增加服务的整体费用。

政策范围

安全基准的政策范围定义了政策适用的位置。它可以适用于组织中的所有帐户和资源，或仅适用于某些帐户和资源。根据所选设置，Firewall Manager 将使用以下选项为在范围内的帐户应用政策：

另一方面，当选择资源的范围时，可以使用以下选项：

对于委任的管理员，范围定义仅适用于在委任过程中定义的帐户、区域或 OUs。图4显示了一个政策范围定义的示例。

用例特定的规则组

图5显示了一个特定用例示例，其中 Firewall Manager 政策范围内的成员帐户中的 AWS WAF 管理员希望使用以下规则来保护其网络应用程序。

中间规则组

中间规则组在每个通过 Firewall Manager 部署的帐户中的 ACL 中配置。图5中的示例规则旨在保护指定的应用程序：

这个规则组将在 Firewall Manager 政策中位于优先级第二的位置，位于第一和最后的规则组之间。这一配置使得帐户管理员可以设计其规则集，以涵盖特定应用程序的具体用例，并有可能覆盖优先级较低最后规则组中评估的规则。例如，如果应用级规则中的速率限制高于组织级规则，则不会对过滤的流量造成影响，因为政策中第一组的组织级规则将具有优先权。然而，在应用级的具体机器人控制规则将会超越政策中最后组的组织级规则。在决定哪些规则需要在 Firewall Manager 政策的第一和最后组中时需要考虑这一逻辑。

测试的推荐方法

在将你的网络 ACL 实施部署到生产环境之前，应在测试环境中进行测试和调整，直到你对流量的潜在影响感到满意。然后，在生产流量中以计数模式进行测试和调整规则，然后再启用它们。

清理

为了避免帐户中不必要的收费，请删除任何不需要的政策和资源。你可以通过以下步骤从控制台中执行此操作：

AWS WAF 将删除政策及其所创建的任何关联资源，如网络 ACL。变更可能需要几分钟才能在所有帐户中传播。

结论

通过使用 Firewall Manager，你可以利用原生云功能，强制执行多帐户环境中 AWS WAF 规则的安全基准配置。可以中央设计政策，以广泛的规则组来保护工作负载，并允许应用程序管理员设计自定义规则，以保护特定用例，例如 OWASP 前十名或技术相关的弱点。

本文中提供的示例可以进一步自定义和调整，以符合贵组织的需求。设计政策以遵循安全要求和具体用例以保护你的工作负载。

如果你想了解更多信息，请访问 AWS Firewall Manager 自动化 网页，该网页提供了一个快速安全基准的解决方案，以防止分散式拒绝服务DDoS攻击。

如果你对本篇文章有任何反馈，请在下方的 评论 区域提交评论。如果你对本文有任何问题，请 联系 AWS 支持。

想获取更多 AWS 安全新闻？关注我们的 Twitter。

Omner Barajas

Omner 是一位资深安全专家解决方案架构师，基于墨西哥，支持拉丁美洲地区的客户。他通常与帐户团队合作，帮助客户加速云采用并改善其工作负载的安全态势，解决与网络安全和遵循国际标准与法规相关的复杂技术挑战。

标签：AWS Firewall Manager、AWS WAF、安全性、安全博客