**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Firewall Manager 如何启动子网的网络 ACL 管理
<a name="network-acls-initialization"></a>

本节介绍了 Firewall Manager 如何启动子网的网络 ACL 管理。

当 Firewall Manager 将子网与其创建且标有 `FMManaged` 设置为 `true` 的网络 ACL 关联时，就开始管理此子网的网络 ACL 。

要遵守网络 ACL 策略，需要子网的网络 ACL 按照策略中指定的顺序，将策略的第一条规则放在第一位，并按顺序将最后一条规则排在最后，其他所有自定义规则放在中间。可以通过子网已关联的非托管网络 ACL 或通过托管网络 ACL 来满足这些要求。

当 Firewall Manager 将网络 ACL 策略应用于关联至非托管网络 ACL 的子网时，Firewall Manager 会按顺序查看以下内容，并在发现可行选项时停止：

1. **关联的网络 ACL 已经合规**：如果当前与子网关联的网络 ACL 合规，则 Firewall Manager 会保留这种关联，不启动此子网的网络 ACL 管理。

   Firewall Manager 不会更改或以其他方式管理其不拥有的网络 ACL，但只要此网络 ACL 合规，Firewall Manager 就会将其保留在原位，只是监控其策略合规性。

1. **有合规的托管网络 ACL 可用**：如果 Firewall Manager 已经管理有符合所需配置的网络 ACL，则可以选择此选项。如果启用修复，Firewall Manager 会将子网与其关联起来。如果禁用修复，Firewall Manager 会将子网标为不合规，并提供替换网络 ACL 关联的修复选项。

1. **创建新的合规托管网络 ACL**：如果启用修复，Firewall Manager 将创建一个新的网络 ACL 并将其与子网关联。否则，Firewall Manager 会将子网标为不合规，并提供创建新的网络 ACL 和替换网络 ACL 关联的修复选项。

如果这些步骤失败，Firewall Manager 会报告子网不合规。

当子网首次进入范围内，而子网的非托管网络 ACL 不合规时，Firewall Manager 会遵照这些步骤。