# 네트워크 ACL 규칙
<a name="nacl-rules"></a>

기본 네트워크 ACL에 규칙을 추가 또는 제거하거나, VPC에 대한 네트워크 ACL을 추가로 생성할 수 있습니다. 네트워크 ACL에서 규칙을 추가하거나 제거할 때 네트워크 ACL이 연결되어 있는 서브넷에 변경 사항이 자동으로 적용됩니다.

다음은 네트워크 ACL 규칙 중 일부입니다.
+ **규칙 번호**. 번호가 가장 낮은 규칙부터 평가됩니다. 규칙에 일치하는 트래픽이 있으면 이와 모순되는 상위 규칙이 있더라도 적용됩니다.
+ **유형**. 트래픽 유형(예: SSH)입니다. 모든 트래픽 또는 사용자 지정 범위를 지정할 수도 있습니다.
+ **프로토콜** . 표준 프로토콜 번호를 가진 어떤 프로토콜이든 지정할 수 있습니다. 자세한 내용은 [프로토콜 번호](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)를 참조하세요. ICMP를 프로토콜로 지정하면 ICMP 유형과 코드 중 일부 또는 전부를 지정할 수 있습니다.
+ **포트 범위**. 트래픽에 대한 수신 포트 또는 포트 범위입니다. 예를 들어, HTTP 트래픽의 경우 80입니다.
+ **소스**: . [인바운드 규칙만 해당] 트래픽의 소스(CIDR 범위)입니다.
+ **대상** [아웃바운드 규칙만 해당] 트래픽의 대상(CIDR 범위)입니다.
+ **허용/거부**. 지정된 트래픽을 *허용* 또는 *거부* 할지 여부입니다.

예시 규칙은 [예: 서브넷의 인스턴스에 대한 액세스 제어](nacl-examples.md) 섹션을 참조하세요.

## 고려 사항
<a name="nacl-rule-considerations"></a>
+ 네트워크 ACL당 규칙 수에 대한 할당량(제한이라고도 함)이 있습니다. 자세한 내용은 [Amazon VPC 할당량](amazon-vpc-limits.md) 섹션을 참조하세요.
+ ACL에서 규칙을 추가하거나 삭제할 때 ACL과 연관된 서브넷이 변경될 수 있습니다. 변경 사항은 잠시 후 적용됩니다.
+ 명령줄 도구 또는 Amazon EC2 API를 사용하여 규칙을 추가하면 CIDR 범위가 표준 형식으로 자동 수정됩니다. 예를 들어 CIDR 범위에 `100.68.0.18/18`을 지정하면 `100.68.0.0/18` CIDR 범위를 가진 규칙이 작성됩니다.
+ 다양한 포트를 열어야 하지만, 거부하려는 범위에 속하는 특정 포트가 있는 경우 거부 규칙을 추가할 수 있습니다. 거부 규칙에는 더 넓은 범위의 포트 트래픽을 허용하는 규칙보다 적은 수를 지정해야 합니다.
+ 네트워크 ACL에서 규칙을 동시에 추가하고 삭제하는 경우 주의해야 합니다. 인바운드 또는 아웃바운드 규칙을 삭제한 다음 허용된 항목보다 많은 새 항목을 추가하면([Amazon VPC 할당량](amazon-vpc-limits.md) 참조) 삭제하도록 선택한 항목이 제거되고 새 항목이 추가되지 *않습니다*. 이로 인해 예기치 않은 연결 문제가 발생하고 VPC에 대한 액세스가 차단될 수 있습니다.