本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路 ACL 規則
<a name="nacl-rules"></a>

您可以在預設網路 ACL 中新增或移除規則，或為您的 VPC 建立額外的網路 ACL。當您在網路 ACL 中新增或移除規則時，系統會自動將變更套用至與網路 ACL 建立關聯的子網路。

下列為部分網路 ACL 規則：
+ **規則編號**。規則評估順序是從最低的編號規則開始。只要規則符合流量，即會套用規則，不論是否有任何編號更高的規則可能與其抵觸均同。
+ **類型**。流量類型；例如 SSH。您也可以指定所有流量或自訂範圍。
+ **Protocol (通訊協定**)。您可以指定任何具有標準通訊協定號碼的通訊協定。如需詳細資訊，請參閱 [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。若您指定 ICMP 為通訊協定，您可以指定任何或所有的 ICMP 類型及代碼。
+ **連接埠範圍**。流量的接聽連接埠或連接埠範圍。例如，80 代表 HTTP 流量。
+ **來源**。[僅限傳入規則] 流量的來源 (CIDR 範圍)。
+ **Destination (目的地**)。[僅限傳出規則] 流量的目的地 (CIDR 範圍)。
+ **允許/拒絕**。*允許*還是*拒絕*指定的流量。

如需規則範例，請參閱 [範例：控制對子網路中執行個體的存取](nacl-examples.md)。

## 考量事項
<a name="nacl-rule-considerations"></a>
+ 每個網路 ACL 的規則數量有配額 (亦稱為限制)。如需詳細資訊，請參閱[Amazon VPC 配額](amazon-vpc-limits.md)。
+ 當您新增或刪除 ACL 的規則時，任何與該 ACL 相關聯的子網路都會套用變更。這些變更在很短時間後便會生效。
+ 如果您使用命令列工具或 Amazon EC2 API 新增規則，CIDR 範圍會自動修改為其標準形式。例如，如果您指定 CIDR 範圍為 `100.68.0.18/18`，我們會建立具有 `100.68.0.0/18` CIDR 範圍的規則。
+ 如果您必須開放範圍很廣的連接埠，但該範圍內有要拒絕的特定連接埠，則您可能想要新增拒絕規則。請務必為拒絕規則設定比允許更廣連接埠流量範圍的規則更小的編號。
+ 如果同時從網路 ACL 新增與刪除規則，請多加小心。如果您刪除傳入或傳出規則，然後新增的新項目數量超過允許的數量 (請參閱 [Amazon VPC 配額](amazon-vpc-limits.md))，則選擇要刪除的項目將會被移除，而新項目則*不會*新增。這可能會導致未預期的連線問題，並且阻止進出 VPC 的存取行為。