AWS Firewall Manager
对 Organizations 下多个账户和资源统一应用和管理 WAF、Shield Advanced、Security Group、Network Firewall 规则的安全管理服务
概述
AWS Firewall Manager 是与 AWS Organizations 协同工作,统一管理跨多个 AWS 账户的防火墙规则的服务。将 WAF 规则、Shield Advanced 保护、VPC 安全组、Network Firewall 策略、Route 53 Resolver DNS Firewall 规则定义为安全策略,自动应用到指定的 OU 或账户。新账户或资源添加时策略也会自动应用,确保安全一致性。
安全策略的类型与适用范围
Firewall Manager 的安全策略有 6 种类型,根据保护对象的资源类型选择。WAF 策略将 WAF 规则组批量应用到 CloudFront 分配、ALB、API Gateway、AppSync。用于对所有账户的 ALB 强制应用通用 WAF 规则 (SQL 注入防御、速率限制)。Shield Advanced 策略将 DDoS 保护应用到 EC2、ELB、CloudFront、Global Accelerator、Route 53。安全组策略管理 VPC 安全组,可检测并自动修复不必要的入站规则。Network Firewall 策略自动在 VPC 中部署 Network Firewall,应用有状态流量检查规则。DNS Firewall 策略将 DNS 过滤规则应用到 Route 53 Resolver,阻止对恶意域名的 DNS 查询。各策略的适用范围可按 Organizations 的 OU 单位、账户单位、资源标签单位指定,也可设置排除规则。
WAF 规则的统一管理与自动修复
Firewall Manager 最常见的用例是 WAF 规则的统一管理。安全团队在 Firewall Manager 中定义 WAF 策略后,Web ACL 自动创建并关联到目标账户的目标资源。策略可指定「第一规则组」和「最后规则组」,各账户管理员可在其间添加账户特有规则。这样既能强制组织通用的安全基线 (OWASP Top 10 防护、机器人防护、速率限制),又保留账户级自定义空间。启用自动修复功能后,不符合策略的资源 (如未关联 WAF 的 ALB) 会被自动修复。新 ALB 创建时 Firewall Manager 也会检测并自动关联 WAF。合规仪表板可一览所有账户的策略合规状况,便于识别和处理不合规资源。
导入前提条件与成本结构
Firewall Manager 的导入有 3 个前提条件。第一,AWS Organizations 已启用且所有功能 (All Features) 已激活。第二,已指定 Firewall Manager 管理员账户 (通常为安全账户)。第三,目标账户已启用 AWS Config (Firewall Manager 评估资源合规状况所需)。成本结构为 Firewall Manager 本身的策略费用 (每策略每月 100 USD) 加上各策略创建的资源 (WAF Web ACL、Network Firewall 端点等) 费用。WAF 策略的情况下,总成本为 Firewall Manager 100 USD + 各账户 Web ACL 费用 (每月 5 USD) + 规则费用 + 请求费用。对 10 个账户应用 WAF 策略时,Firewall Manager 100 USD + Web ACL 50 USD + 规则/请求费用,月费约 200-300 USD。账户数较少 (不足 5 个) 时,各账户单独配置 WAF 可能更具成本效益。