# Criar uma ACL de rede para sua VPC
As tarefas a seguir mostram como criar uma ACL de rede, adicionar regras à ACL de rede e, em seguida, associar a ACL de rede a uma sub-rede.
**Topics**
+ [Etapa 1: Criar uma uma ACL de rede](#CreateACL)
+ [Etapa 2: Adicionar regras](#Rules)
+ [Etapa 3: Associar uma sub-rede a uma ACL de rede](#NetworkACL)
+ [(Opcional) Gerenciar ACLs de rede usando o Firewall Manager](#nacls-using-firewall-manager)
## Etapa 1: Criar uma uma ACL de rede
Você pode criar uma ACL de rede personalizada para sua VPC. As regras iniciais de uma ACL de rede personalizada bloqueiam todo o tráfego de entrada e saída. Sua nova ACL de rede personalizada não está associada a uma sub-rede por padrão e deve ser associada explicitamente a sub-redes.
**Para criar uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Escolha **Criar ACL de rede**.
1. (Opcional) Em **Nome**, insira um nome para a sua ACL de rede.
1. Em **VPC**, selecione a VPC.
1. (Opcional) Em **Tags**, escolha **Adicionar tag** e insira uma chave de tag e um valor de tag.
1. Escolha **Criar ACL de rede**.
**Para criar uma ACL de rede usando a linha de comando**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
## Etapa 2: Adicionar regras
É possível adicionar regras que permitam ou neguem tráfego de entrada ou saída.
Processamos as regras sequencialmente, começando pela regra com o número mais baixo. É recomendável deixar lacunas entre os números de regra (como 100, 200, 300), em vez de usar números sequenciais (101, 102, 103). Desse modo, fica mais fácil adicionar uma nova regra sem precisar renumerar as regras existentes.
Se você estiver usando a API do Amazon EC2 ou uma ferramenta de linha de comando, não será possível modificar regras. Só é possível adicionar e excluir regras. Se você estiver usando o console da Amazon VPC, poderá modificar as entradas das regras existentes. O console remove a regra existente e adiciona uma nova regra para você. Se você precisar mudar a ordem de uma regra na ACL, precisará adicionar uma nova regra com o novo número e depois excluir a regra original.
**Para adicionar regras a uma ACL de rede usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Network ACLs**.
1. Selecione a Network ACL.
1. Para adicionar uma regra de entrada, faça o seguinte:
1. Escolha a guia **Regras de entrada**.
1. Na página **Editar regras de entrada**, escolha **Adicionar nova regra**.
1. Insira um número de regra que ainda não esteja em uso, um tipo, protocolo, intervalo de portas, origem e se deseja permitir ou negar o tráfego. Para alguns tipos, preenchemos o protocolo e a porta para você. Se você for solicitado a inserir um intervalo de portas, insira um número de porta ou um intervalo de portas (por exemplo, 49152-65535).
Para usar um protocolo que não está listado, escolha **Protocolo personalizado** para o tipo e, em seguida, selecione o protocolo. Para obter mais informações, consulte [Números de protocolos IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Escolha **Salvar alterações**.
1. Para adicionar uma regra de saída, faça o seguinte:
1. Escolha a guia **Outbound rules** (Regras de saída).
1. Selecione **Editar regras de saída**, **Adicionar nova regra**.
1. Insira um número de regra que ainda não esteja em uso, um tipo, protocolo, intervalo de portas, origem e se deseja permitir ou negar o tráfego. Para alguns tipos, preenchemos o protocolo e a porta para você. Se você for solicitado a inserir um intervalo de portas, insira um número de porta ou um intervalo de portas (por exemplo, 49152-65535).
Para usar um protocolo que não está listado, escolha **Protocolo personalizado** para o tipo e, em seguida, selecione o protocolo. Para obter mais informações, consulte [Números de protocolos IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Escolha **Salvar alterações**.
**Para adicionar uma regra a uma ACL de rede usando a linha de comando**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Para substituir uma regra em uma ACL de rede usando a linha de comando**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Para excluir uma regra de uma ACL de rede usando a linha de comando**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
## Etapa 3: Associar uma sub-rede a uma ACL de rede
Para aplicar as regras de uma ACL de rede a uma sub-rede específica, você deve associar a sub-rede a uma ACL de rede. É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede. Por padrão, as sub-redes não associadas a uma ACL específica são associadas à ACL de rede padrão.
**Para associar uma sub-rede a uma ACL de rede**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Network ACLs** e depois selecione a Network ACL.
1. No painel de detalhes, na guia **Subnet Associations**, escolha **Edit**. Marque a caixa de seleção **Associar** para a sub-rede associada à ACL de rede e escolha **Salvar**.
## (Opcional) Gerenciar ACLs de rede usando o Firewall Manager
O AWS Firewall Manager simplifica as tarefas de administração e manutenção de ACLs de rede entre várias contas e sub-redes. Você pode usar o Firewall Manager para monitorar contas e sub-redes da sua organização e aplicar automaticamente as configurações de ACL de rede que definiu. O Firewall Manager é especialmente útil quando você deseja proteger toda a organização ou quando adiciona frequentemente, de uma conta de administrador central, novos recursos que deseja proteger automaticamente.
Com uma política de ACL de rede do Firewall Manager, usando uma única conta de administrador, você pode configurar, monitorar e gerenciar os conjuntos mínimos de regras que deseja definir nas ACLs de rede usadas em toda a sua organização. Você especifica quais contas e sub-redes da organização estão no escopo da política do Firewall Manager. O Firewall Manager relata o status de conformidade das ACLs de rede para as sub-redes dentro do escopo, e o Firewall Manager pode ser configurado para automatizar a correção de ACLs de rede fora de conformidade.
Para obter mais informações, consulte os seguintes recursos no *Guia do desenvolvedor do AWS Firewall Manager*:
+ [AWS Firewall Manager Pré-requisitos do](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [Configurar as políticas de ACL de rede do AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Como usar políticas de ACL de rede com o Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)