**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Firewall Manager Amazon VPC 網路 ACL 政策
若要使用 AWS Firewall Manager 在整個組織中啟用網路 ACLs,請依序執行本節中的步驟。
如需有關網路 ACLs 的資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用網路 ACLs 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。
**Topics**
+ [步驟 1:完成先決條件](#complete-prereq-network-acl)
+ [步驟 2:建立網路 ACL 政策](#get-started-fms-nacl-create-security-policy)
## 步驟 1:完成先決條件
為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。先完成所有的先決條件,再進行 [步驟 2:建立網路 ACL 政策](#get-started-fms-nacl-create-security-policy)。
## 步驟 2:建立網路 ACL 政策
完成先決條件後,您可以建立 Firewall Manager 網路 ACL 政策。網路 ACL 政策為您的整個 AWS 組織提供集中控制的網路 ACL 定義。它也會定義網路 ACL 套用的 AWS 帳戶 和 子網路。
如需 Firewall Manager 網路 ACL 政策的詳細資訊,請參閱 [網路 ACL 政策](network-acl-policies.md)。
如需 Firewall Manager 網路 ACL 政策的一般資訊,請參閱 [網路 ACL 政策](network-acl-policies.md)。
**注意**
在本教學課程中,您不會將網路 ACL 政策套用至組織中的子網路。您只需建立政策,並查看將政策的網路 ACL 套用至子網路時會發生什麼情況。您可以停用政策上的自動修補,來執行此作業。
**建立 Firewall Manager 網路 ACL 政策 (主控台)**
1. AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**
如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
1. 在導覽窗格中,選擇 **Security policies (安全群組政策)**。
1. 如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循指示,然後返回此步驟來建立網路 ACL 政策。
1. 選擇**建立政策**。
1. 針對**區域**,選擇 AWS 區域。
1. 針對**政策類型**,選擇**網路 ACL**。
1. 選擇**下一步**。
1. 針對**政策名稱**,輸入描述性名稱。
1. 針對**網路 ACL 政策規則**,定義傳入和傳出流量的第一個和最後一個規則。
您可以在 Firewall Manager 中定義網路 ACL 規則,類似於透過 Amazon VPC 定義規則的方式。唯一的差別是,您不會自行指派規則號碼,而是指派執行每組規則的順序,然後 Firewall Manager 會在儲存政策時為您指派號碼。您最多可以定義 5 個傳入規則,分為第一個和最後一個規則,而且最多可以定義 5 個傳出規則。
如需指定網路 ACL 規則的指引,請參閱《*Amazon VPC 使用者指南*》中的[新增和刪除網路 ACL 規則](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#Rules)。
您在 Firewall Manager 政策中定義的規則指定網路 ACL 必須符合網路 ACL 政策的最低規則組態。例如,網路 ACL 的傳入規則無法符合政策,除非它們以 作為政策的傳入第一個規則,其順序與政策中指定的順序相同。如需詳細資訊,請參閱[網路 ACL 政策](network-acl-policies.md)。
1. 對於 **Policy action (政策動作)**,選擇 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)**。
1. 選擇**下一步**。
1. **AWS 帳戶 受此政策影響**的 可讓您透過指定要包含或排除的帳戶來縮小政策的範圍。在本教學課程中,請選擇 **Include all accounts under my organization. (納入我組織下的所有帳戶。)**。
網路 ACL 政策**的資源類型**一律為子網路。
1. 對於 **資源**,您可以使用標記來縮小政策的範圍,方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除,但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊,請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。
資源標籤只能有非空值。如果您省略標籤的值, Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。
1. 選擇**下一步**。
1. 針對**政策標籤**,新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊,請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 選擇**下一步**。
1. 檢閱新的政策設定,並返回您需要進行任何調整的任何頁面。
請務必確定 **Policy action (政策動作)** 已設為 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)**。這可讓您檢閱政策在啟用變更之前所做的變更。
1. 當您滿意時,選擇 **建立政策**。
在**AWS Firewall Manager 政策**窗格中,應該列出您的政策。它可能會指出帳戶標題下的**待**定,並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。
1. 當您完成探索時,如果您不想保留為此教學課程建立的政策,請選擇政策名稱、選擇**刪除**、選擇**清除此政策建立的資源,**最後選擇**刪除**。
如需 Firewall Manager 網路 ACL 政策的詳細資訊,請參閱 [網路 ACL 政策](network-acl-policies.md)。