# 网络 ACL 规则
<a name="nacl-rules"></a>

您可以在默认网络 ACL 中添加或删除规则，或为您的 VPC 创建额外网络 ACL。当您在网络 ACL 中添加或删除规则时，更改也会自动应用到与其相关联的子网。

以下为部分网络 ACL 规则：
+ **规则编号**。规则评估从编号最低的规则起开始进行。只要有一条规则与流量匹配，即应用该规则，并忽略与之冲突的任意更大编号的规则。
+ **类型**。流量的类型，例如 SSH。您也可以指定所有流量或自定义范围。
+ **协议**。您可以指定任何有标准协议编号的协议。有关更多信息，请参阅 [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。如果您指定 ICMP 作为协议，您可以指定任意或全部 ICMP 类型和代码。
+ **端口范围**。流量的侦听端口或端口范围。例如，80 用于 HTTP 流量。
+ **源**。[仅限入站规则]流量的源（CIDR 范围）。
+ **目的地**。[仅限出站规则]流量的目的地（CIDR 范围）。
+ **允许/拒绝**。*允许*还是*拒绝*指定的流量。

有关规则示例，请参阅 [示例：控制对子网中的实例的访问](nacl-examples.md)。

## 注意事项
<a name="nacl-rule-considerations"></a>
+ 每个网络 ACL 的规则数量存在配额（也称为限制）。有关更多信息，请参阅 [Amazon VPC 配额](amazon-vpc-limits.md)。
+ 当您在网络 ACL 中添加或删除规则时，与其相关联的子网也会随之更改。这些更改在短时间内生效。
+ 如果您使用命令行工具或 Amazon EC2 API 添加规则，则系统会自动将 CIDR 范围修改为其规范形式。例如，如果您为 CIDR 范围指定 `100.68.0.18/18`，我们将创建一个 CIDR 范围为 `100.68.0.0/18` 的规则。
+ 在您必须开放一系列端口、同时在此部分端口内您想拒绝部分端口，您可能希望添加一项拒绝规则。请务必确保拒绝规则的给定数量要小于允许更大范围端口流量的规则的数量。
+ 如果您同时在网络 ACL 中添加和删除规则，则请谨慎操作。如果您删除入站或出站规则，然后添加的新条目数超过了允许的条目数（请参阅 [Amazon VPC 配额](amazon-vpc-limits.md)），则将移除已选择删除的条目，且*不会添加*新条目。这可能会导致意外的连接问题，并阻止进出 VPC 的访问。