**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 Firewall Manager 使用 Amazon VPC 網路存取控制清單 (ACL) 政策
本節涵蓋 AWS Firewall Manager 網路 ACL 政策的運作方式,並提供使用這些政策的指引。如需使用主控台建立網路 ACL 政策的指引,請參閱 [建立網路 ACL 政策](create-policy.md#creating-firewall-manager-policy-network-acl)。
如需有關 Amazon VPC 網路存取控制清單 (ACLs) 的資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用網路 ACLs 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。
您可以使用 Firewall Manager 網路 ACL 政策來管理組織中的 Amazon Virtual Private Cloud (Amazon VPC) 網路存取控制清單 (ACLs) AWS Organizations。您可以定義政策的網路 ACL 規則設定,以及您要強制執行設定的帳戶和子網路。Firewall Manager 會在在整個組織中新增或更新帳戶和子網路時,持續將您的政策設定套用至這些帳戶和子網路。如需政策範圍 和 的相關資訊 AWS Organizations,請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)和 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。
當您定義 Firewall Manager 網路 ACL 政策時,除了標準 Firewall Manager 政策設定,例如名稱和範圍,您還可以提供下列項目:
+ 傳入和傳出流量處理的第一個和最後一個規則。Firewall Manager 會在政策範圍內的網路 ACLs 中強制執行這些項目的存在和排序,或報告不合規。您的個別帳戶可以建立自訂規則,以便在政策的第一個和最後一個規則之間執行。
+ 當修復會導致網路 ACL 中的規則之間發生流量管理衝突時,是否強制修復。這僅適用於針對政策啟用修補時。
## 使用 Firewall Manager 網路 ACL 政策的最佳實務
本節列出使用 Firewall Manager 網路 ACL 政策和受管網路 ACLs 的建議。
**請參閱 `FMManaged`標籤以識別由 Firewall Manager 管理的網路 ACLs**
Firewall Manager 管理的網路 ACLs 會將`FMManaged`標籤設定為 `true`。使用此標籤來協助區分您自己的自訂網路 ACLs 與您透過 Firewall Manager 管理的 ACL。
**請勿修改網路 ACL 上`FMManaged`標籤的值**
Firewall Manager 使用此標籤來設定和判斷其具有網路 ACL 的管理狀態。
**請勿修改具有 Firewall Manager 受管網路 ACLs 之子網路的關聯**
請勿手動變更子網路與 Firewall Manager 管理的任何網路 ACLs 之間的關聯。這樣做可以停用 Firewall Manager 管理這些子網路保護的能力。您可以透過尋找 的`FMManaged`標籤設定來識別由 Firewall Manager 管理的網路 ACLs`true`。
若要從 Firewall Manager 政策管理中移除子網路,請使用 Firewall Manager 政策範圍設定來排除子網路。例如,您可以標記子網路,然後從政策範圍中排除該標籤。如需詳細資訊,請參閱[使用 AWS Firewall Manager 政策範圍](policy-scope.md)。
**當您更新受管網路 ACL 時,請勿修改 Firewall Manager 管理的規則**
在 Firewall Manager 管理的網路 ACL 中,遵循 中所述的編號機制,將您的自訂規則與政策規則分開[在 Firewall Manager 中使用網路 ACL 規則和標記](network-acls-fms-managed.md)。僅新增或修改數字介於 5,000 到 32,000 之間的規則。
**避免為您的帳戶限制新增太多規則**
在修復網路 ACL 期間,防火牆管理員通常會暫時增加網路 ACL 規則計數。為了避免不合規問題,請確定您有足夠的空間容納正在使用的規則。如需詳細資訊,請參閱[Firewall Manager 如何修復不合規的受管網路 ACLs](network-acls-remediation.md)。
**從停用自動修補開始**
從停用自動修復開始,然後檢閱政策詳細資訊,以判斷自動修復會帶來的影響。當您確認這些變更正是您所需的時,請編輯政策,以啟用自動修補。
## Firewall Manager 網路 ACL 政策注意事項
本節列出使用 Firewall Manager 網路 ACL 政策的注意事項和限制。
+ **更新時間比其他政策慢** – Firewall Manager 通常會比其他 Firewall Manager 政策更慢地套用網路 ACL 政策和政策變更,因為 Amazon EC2 網路 ACL APIs 能夠處理請求的速率有限。您可能會注意到政策變更需要比其他 Firewall Manager 政策的類似變更更長的時間,特別是當您第一次新增政策時。
+ **對於初始子網路保護,防火牆管理員偏好較舊的政策** – 這僅適用於尚未受到防火牆管理員網路 ACL 政策保護的子網路。如果子網路同時進入多個網路 ACL 政策的範圍,則 Firewall Manager 會使用最舊的政策來保護子網路。
+ **政策停止保護子網路的原因** – 管理子網路網路 ACL 的政策會保留管理,直到發生下列其中一種情況:
+ 子網路超出政策的範圍。
+ 政策已刪除。
+ 您可以手動將子網路的關聯變更為由不同 Firewall Manager 政策管理且子網路在範圍內的網路 ACL。
**Topics**
+ [使用 Firewall Manager 網路 ACL 政策的最佳實務](#network-acls-best-practice)
+ [Firewall Manager 網路 ACL 政策注意事項](#network-acls-caveats)
+ [在 Firewall Manager 中使用網路 ACL 規則和標記](network-acls-fms-managed.md)
+ [Firewall Manager 如何啟動子網路的網路 ACL 管理](network-acls-initialization.md)
+ [Firewall Manager 如何修復不合規的受管網路 ACLs](network-acls-remediation.md)
+ [刪除 Firewall Manager 網路 ACL 政策](network-acls-deletion.md)