**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Amazon VPC 网络访问控制列表（ACL）策略与 Firewall Manager 配合使用
<a name="network-acl-policies"></a>

本节介绍 AWS Firewall Manager 网络 ACL 策略的工作原理，并提供使用这些策略的指导。有关使用控制台创建网络 ACL 策略的指南，请参阅 [创建网络 ACL 策略](create-policy.md#creating-firewall-manager-policy-network-acl)。

有关 Amazon VPC 网络访问控制列表 (ACLs) 的信息，请参阅 A *mazon VPC 用户指南ACLs*中的[使用网络控制子网的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。

您可以使用 Firewall Manager 网络 ACL 策略来管理您的组织的亚马逊虚拟私有云（亚马逊 VPCACLs）网络访问控制列表 () AWS Organizations。您可以定义策略的网络 ACL 规则设置，以及想在其中执行此种设置的账户和子网。在整个组织内添加或更新账户和子网时，Firewall Manager 会持续将您的策略设置应用于这些账户和子网。有关策略范围和的信息 AWS Organizations，请参阅[使用 AWS Firewall Manager 策略范围](policy-scope.md)和《[AWS Organizations 用户指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。

在定义 Firewall Manager 网络 ACL 策略时，除了标准的 Firewall Manager 策略设置（例如名称和范围）外，还需要提供以下内容：
+ 处理入站和出站流量的第一条和最后一条规则。Firewall Manager 强制在网络 ACLs 中存在和排列策略范围内的此类内容，或者报告不合规行为。您的个人账户可以创建在策略的第一条和最后一条规则之间运行的自定义规则。
+ 当修复会导致网络 ACL 中的规则之间产生流量管理冲突时，是否强制修复。这仅在为策略启用修复时适用。

## 使用 Firewall Manager 网络 ACL 策略的最佳实践
<a name="network-acls-best-practice"></a>

本节列出了有关使用 Firewall Manager 网络 ACL 策略和托管网络的建议 ACLs。

**参考`FMManaged`标签以识别由 Firewall Manager 管理的网络 ACLs**  
Firew ACLs all Manager 管理的网络的`FMManaged`标签设置为`true`。使用此标签可以帮助将您自己的自定义网络与通过 Firew ACLs all Manager 管理的自定义网络区分开来。

**不要修改网络 ACL 上的 `FMManaged` 标签的值**  
Firewall Manager 使用此标签设置和确定其对网络 ACL 的管理状态。

**不要修改具有 Firewall Manager 托管网络的子网的关联 ACLs**  
请勿手动更改您的子网与 Firewall Manager 管理 ACLs 的任何网络之间的关联。否则 Firewall Manager 无法管理这些子网的保护措施。您可以通过查找 Firew ACLs all Manager 的`FMManaged`标签设置来识别由 Firewall Manager 管理的网络`true`。

要从 Firewall Manager 策略管理中移除子网，应使用 Firewall Manager 策略范围设置来排除该子网。例如，您可以标记子网，然后将此标签排除在策略范围之外。有关更多信息，请参阅 [使用 AWS Firewall Manager 策略范围](policy-scope.md)。

**更新托管网络 ACL 时，不要修改 Firewall Manager 管理的规则**  
在 Firewall Manager 管理的网络 ACL 中，遵照 [在 Firewall Manager 中使用网络 ACL 规则和标记](network-acls-fms-managed.md) 中描述的编号方案，将您的自定义规则与此种策略规则隔开。仅添加或修改数字介于 5,000 和 32,000 之间的规则。

**避免为账户限额添加太多规则**  
在修复网络 ACL 期间，Firewall Manager 通常会临时增大网络 ACL 规则计数。为避免出现不合规问题，请确保为正在使用的规则留有足够空间。有关更多信息，请参阅 [Firewall Manager 如何修复不合规的托管网络 ACLs](network-acls-remediation.md)。

**首先禁用自动修正**  
先从禁用自动修复开始，然后查看策略详细信息以确定自动修正可能产生哪些影响。在您确定进行了所需的更改时，请编辑策略以启用自动修正。

## Firewall Manager 网络 ACL 策略的注意事项
<a name="network-acls-caveats"></a>

本节列出了使用 Firewall Manager 网络 ACL 策略的注意事项和限制。
+ **更新时间比其他策略慢** — 由于 Amazon 网络 ACL 处理请求的速度有限，Firewall Manager 应用 EC2 网络 ACL APIs 策略和策略更改的速度通常比其他防火墙管理器策略要慢。您可能会注意到，策略更改花费的时间要长于其他 Firewall Manager 策略进行的类似更改，尤其是在首次添加策略时。
+ **对于子网初始保护，Firewall Manager 首选旧的策略**：这仅适用于尚未得到 Firewall Manager 网络 ACL 策略保护的子网。如果一个子网同时属于多个网络 ACL 策略的范围，则 Firewall Manager 使用最旧的策略来保护此子网。
+ **策略停止保护子网的原因**：管理子网的网络 ACL 的策略保留管理能力，直到发生以下情况之一：
  + 子网超出了策略的范围。
  + 策略已删除。
  + 您可以手动更改子网与由其他 Firewall Manager 策略进行管理且子网在其范围内的网络 ACL 的关联。

**Topics**
+ [

## 使用 Firewall Manager 网络 ACL 策略的最佳实践
](#network-acls-best-practice)
+ [

## Firewall Manager 网络 ACL 策略的注意事项
](#network-acls-caveats)
+ [

# 在 Firewall Manager 中使用网络 ACL 规则和标记
](network-acls-fms-managed.md)
+ [

# Firewall Manager 如何启动子网的网络 ACL 管理
](network-acls-initialization.md)
+ [

# Firewall Manager 如何修复不合规的托管网络 ACLs
](network-acls-remediation.md)
+ [

# 删除 Firewall Manager 网络 ACL 策略
](network-acls-deletion.md)

# 在 Firewall Manager 中使用网络 ACL 规则和标记
<a name="network-acls-fms-managed"></a>

本节介绍网络 ACL 策略规则规范以及由 Firewall Manager 管理的网络 ACLs 。

**在托管网络 ACL 上进行标记**  
Firewall Manager 使用值为 `true` 的 `FMManaged` 标签来标记托管网络 ACL。Firewall Manager 仅在设置了 ACLs 此标签的网络上执行修复。

**您在策略中定义的规则**  
在网络 ACL 策略规范中，您可以为入站流量定义要首先和最后运行的规则，并为出站流量定义要首先和最后运行的规则。

默认情况下，您可以定义最多 5 条入站规则，按照策略中第一条和最后一条规则的任意组合使用。同样，您可以定义最多 5 条出站规则。有关这些限制的更多信息，请参阅 [软限额](fms-limits.md#fms-limits-mutable)。有关网络的一般限制的信息 ACLs，请参阅 [Amazon VPC *用户指南 ACLs中的 Amazon VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。

您不需要为策略规则分配规则编号。相反，您可以按照评估规则的顺序指定规则，然后 Firewall Manager 使用该顺序在其管理的网络 ACLs 中分配规则编号。

此外，您还可以管理策略的网络 ACL 规则规范，就如同通过 Amazon VPC 管理网络 ACL 中的规则一样。有关 Amazon VPC 中网络 ACL 管理的信息，请参阅 A **mazon VPC 用户指南 ACLs**中的[[使用网络](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)控制子网流量 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)和使用网络。

**托管网络 ACL 中的规则**  
Firewall Manager 在其管理的网络 ACL 中配置规则，它将策略的第一条和最后一条规则置于个人账户管理人员定义的任何自定义规则之前和之后。Firewall Manager 保留自定义规则的顺序。从编号最低的规则开始评估网络 ACLs 。

Firewall Manager 首次创建网络 ACL 时，它使用以下编号定义规则：
+ **第一条规则：1、2、...** — 由您在 Firewall Manager 网络 ACL 策略中定义。

  Firewall Manager 从 1 开始分配规则编号，每次增加 1，规则按照您在策略规范中设置的顺序进行排序。
+ **自定义规则：5,000、5,100、...** — 由个人账户管理人员通过 Amazon VPC 进行管理。

  Firewall Manager 从 5,000 开始为这些规则分配编号，后续每条规则增加 100。
+ **最后一条规则：... 32,765、32,766**：由您在 Firewall Manager 网络 ACL 策略中定义。

  Firewall Manager 分配的规则编号止于最大数字 32766，每次增加 1，规则按照您在策略规范中设置的顺序进行排序。

网络 ACL 初始化后，Firewall Manager 无法控制各个帐户在其托管网络中所做的更改 ACLs。个人账户可以更改网络 ACL 而不使其违反规定，前提是任何自定义规则的编号保持在策略的第一条和最后一条规则之间，且第一条和最后一条规则保持其指定的顺序。在管理自定义规则时，最佳做法是遵守本节所述的编号。

# Firewall Manager 如何启动子网的网络 ACL 管理
<a name="network-acls-initialization"></a>

本节介绍了 Firewall Manager 如何启动子网的网络 ACL 管理。

当 Firewall Manager 将子网与其创建且标有 `FMManaged` 设置为 `true` 的网络 ACL 关联时，就开始管理此子网的网络 ACL 。

要遵守网络 ACL 策略，需要子网的网络 ACL 按照策略中指定的顺序，将策略的第一条规则放在第一位，并按顺序将最后一条规则排在最后，其他所有自定义规则放在中间。可以通过子网已关联的非托管网络 ACL 或通过托管网络 ACL 来满足这些要求。

当 Firewall Manager 将网络 ACL 策略应用于关联至非托管网络 ACL 的子网时，Firewall Manager 会按顺序查看以下内容，并在发现可行选项时停止：

1. **关联的网络 ACL 已经合规**：如果当前与子网关联的网络 ACL 合规，则 Firewall Manager 会保留这种关联，不启动此子网的网络 ACL 管理。

   Firewall Manager 不会更改或以其他方式管理其不拥有的网络 ACL，但只要此网络 ACL 合规，Firewall Manager 就会将其保留在原位，只是监控其策略合规性。

1. **有合规的托管网络 ACL 可用**：如果 Firewall Manager 已经管理有符合所需配置的网络 ACL，则可以选择此选项。如果启用修复，Firewall Manager 会将子网与其关联起来。如果禁用修复，Firewall Manager 会将子网标为不合规，并提供替换网络 ACL 关联的修复选项。

1. **创建新的合规托管网络 ACL**：如果启用修复，Firewall Manager 将创建一个新的网络 ACL 并将其与子网关联。否则，Firewall Manager 会将子网标为不合规，并提供创建新的网络 ACL 和替换网络 ACL 关联的修复选项。

如果这些步骤失败，Firewall Manager 会报告子网不合规。

当子网首次进入范围内，而子网的非托管网络 ACL 不合规时，Firewall Manager 会遵照这些步骤。

# Firewall Manager 如何修复不合规的托管网络 ACLs
<a name="network-acls-remediation"></a>

本节介绍当托管网络不符合策略 ACLs 时，Firewall Manager 如何对其进行修复。Firewall Manager 仅修复托管网络 ACLs，`FMManaged`标签设置为。`true`有关不由 F ACLs irewall Manager 管理的网络，请参阅[网络 ACL 初始管理](network-acls-initialization.md)。

修复可恢复第一条规则、自定义规则和最后一条规则的相对位置，并恢复第一条和最后一条规则的顺序。在修复期间，Firewall Manager 不一定会将规则移动至其在网络 ACL 初始化中使用的规则编号。有关这些规则类别的初始数字设置和说明，请参阅 [网络 ACL 初始管理](network-acls-initialization.md)。

为建立合规的规则和规则顺序，Firewall Manager 可能需要在网络 ACL 内移动规则。Firewall Manager 会尽量保留网络 ACL 的保护措施，它在操作时保持合规的现有规则排序。例如，它可能会暂时将规则复制到新位置，然后有序删除原始规则，但在此过程中保留相对位置。

这种方法可以保护您的设置，但也需要在网络 ACL 中为临时规则留出空间。如果 Firewall Manager 达到网络 ACL 中的规则限制，它会停止修复。出现这种情况时，网络 ACL 仍然不合规，Firewall Manager 会报告其原因。

如果某个账户向由 Firewall Manager 管理的网络 ACL 添加了自定义规则，而这些规则干扰了 Firewall Manager 的修复工作，Firewall Manager 会停止对网络 ACL 的任何修复活动并报告存在冲突。

**强制修复**  
如果为策略选择自动修复，则还需要指定是对第一条规则还是最后一条规则强制执行修复。

当在自定义规则和策略规则之间的流量处理中遇到冲突时，Firewall Manager 会引用相应的强制修复设置。如果启用了强制修复，尽管存在冲突，Firewall Manager 也会应用修复。如果未启用此选项，Firewall Manager 会停止修复。无论哪种情况，Firewall Manager 都会报告规则冲突并提供修复选项。

**规则计数要求和限制**  
在修复期间，Firewall Manager 可能会临时复制规则，以便在不改变规则提供的保护的情况下移动规则。

对于入站或出站规则，Firewall Manager 执行修复可能需要的最大规则数如下：

```
2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction
```

网络 ACLs 和网络 ACL 策略受可变规则限制的约束。如果 Firewall Manager 的修复工作达到极限，它将停止尝试修复并报告不合规情况。

您可以申请提高限制，为 Firewall Manager 执行其修复活动留出空间。或者，您可以更改策略或网络 ACL 中的配置，减少使用的规则数。

有关网络 ACL 限制的信息，请参阅 [Amazon VPC *用户指南 ACLs中的 Amazon VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。

**修复失败时**  
在更新网络 ACL 时，如果 Firewall Manager 因故需要停止，它不会回滚更改，而是将网络 ACL 保留在临时状态。如果您在 `FMManaged` 标记设置为 `true` 的网络 ACL 中看到有重复的规则，则 Firewall Manager 可能正在对其进行修复。更改可能会在一段时间内部分完成，但由于 Firewall Manager 采用的修复方法，这不会中断流量或削弱对关联子网的保护。

当 Firewall Manager 无法完全修复不合规的网络 ACLs 时，它会报告关联子网的不合规情况，并建议可能的补救选项。

**修复失败后重试**  
在大多数情况下，如果 Firewall Manager 未能完成对网络 ACL 的修复更改，它最后会重试更改。

例外情况是修复达到网络 ACL 规则计数限制或 VPC 网络 ACL 计数限制时。Firewall Manager 无法执行占用超过其限制设置的 AWS 资源的补救活动。在这些情况下，您需要减小计数或增加限制才能继续。有关限制的信息，请参阅 [Amazon VPC *用户指南 ACLs中的亚马逊 VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。

## Firewall Manager 网络 ACL 合规性报告
<a name="network-acls-compliance"></a>

Firewall Manager 监控并报告连接到范围内子网的所有网络 ACLs 的合规性。

一般来说，不合规发生在规则排序不正确或策略规则与自定义规则之间的流量处理产生冲突等情况下。不合规报告包括违规行为和修复选项。

Firewall Manager 以与其他策略类型相同的方式，报告网络 ACL 策略的合规性违规行为。有关合规性报告的信息，请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)。

**策略更新期间不合规**  
修改网络 ACL 策略后，在 Firewall Manager 更新该策略范围内的网络之前 ACLs，Firewall Manager 会将这些网络标记为 ACLs不合规。即使严格来说，即使网络 ACLs 可能合规，Firewall Manager 也会这样做。

例如，如果您从策略规范中删除规则，而范围内的网络 ACLs 仍有额外的规则，则它们的规则定义可能仍符合该策略。但是，由于额外规则是 Firewall Manager 管理的规则的一部分，因此 Firewall Manager 将其视为违反当前的策略设置。这与 Firewall Manager 查看添加到防火墙管理器托管网络的自定义规则的方式不同 ACLs。

# 删除 Firewall Manager 网络 ACL 策略
<a name="network-acls-deletion"></a>

本节描述了在删除 Firewall Manager 网络 ACL 策略时，Firewall Manager 中会发生的情况。

当您删除 Firewall Manager 网络 ACL 策略时，Firewall Manager 会将 ACLs 该策略管理的所有网络`false`上的`FMManaged`标签值更改为。

此外，您可以选择是否清理由此策略创建的资源。如果选择清理，Firewall Manager 将依次尝试以下步骤：

1. **将关联恢复到原始状态**：Firewall Manager 尝试将子网关联回在 Firewall Manager 开始进行管理之前与之关联的网络 ACL。

1. **从网络 ACL 中移除第一条和最后一条规则**：如果 Firewall Manager 无法更改关联，它会尝试删除策略的第一条和最后一条规则，只留下与子网关联的网络 ACL 中的自定义规则。

1. **不对规则或关联执行任何操作**：如果上述任一操作都不可行，Firewall Manager 将保持网络 ACL 及其关联不变。

如果不选择清理选项，则需要在删除策略后手动管理每个网络 ACL。在大多数情况下，选择清理选项是最简单的方法。