---
title: "AWS Firewall Manager"
type: entity
tags: [AWS, Security, Firewall, Multi-Account, Policy-Management]
sources: []
last_updated: 2026-04-19
---

## Summary
AWS Firewall Manager 是 AWS 的集中安全管理服务，用于在组织内跨多个账户和应用程序统一配置防火墙规则和安全策略。

## Definition
AWS Firewall Manager 是 AWS Organizations 的安全策略管理服务，提供集中化方式配置和管理跨账户的 Web Application Firewall (WAF)、Network Firewall、Security Group 和 AWS Shield 规则。

## Core Functions

- **Security Group Policy Management**：跨账户统一配置和管理安全组规则
- **WAF Policy Management**：集中配置 WAF 规则
- **Network Firewall Policy**：管理网络防火墙策略
- **Shield Protection**：AWS Shield 高级防护管理

## Key Features

- 支持三种安全组策略类型：
  - 通用安全组（Common）：附加基线安全组，允许产品团队添加额外规则
  - 审计与强制（Audit and Enforcement）：拒绝过度宽松的规则，支持手动或自动修复
  - 清理未使用安全组（Cleanup）：删除冗余未使用的安全组

- 通过 AWS Config + Lambda 触发事件并执行策略
- 与 AWS Organizations 集成，支持组织单位（OU）级别应用
- 通过 Prefix List + RAM 实现跨账号规则共享

## Use Case in CTP
在 Grand Torque Landing Zone 中采用 Firewall Manager 来解决多 Landing Zone（RLabs、RD、SAS、CAT）的安全策略管理挑战。

## Related Entities
- [[AWS]]
- [[AWS Config]]
- [[AWS RAM]]
- [[Security Group]]
- [[CTP]]
- [[Checkpoint Firewall]]