**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Firewall Manager 如何修复不合规的托管网络 ACLs
<a name="network-acls-remediation"></a>

本节介绍当托管网络不符合策略 ACLs 时，Firewall Manager 如何对其进行修复。Firewall Manager 仅修复托管网络 ACLs，`FMManaged`标签设置为。`true`有关不由 F ACLs irewall Manager 管理的网络，请参阅[网络 ACL 初始管理](network-acls-initialization.md)。

修复可恢复第一条规则、自定义规则和最后一条规则的相对位置，并恢复第一条和最后一条规则的顺序。在修复期间，Firewall Manager 不一定会将规则移动至其在网络 ACL 初始化中使用的规则编号。有关这些规则类别的初始数字设置和说明，请参阅 [网络 ACL 初始管理](network-acls-initialization.md)。

为建立合规的规则和规则顺序，Firewall Manager 可能需要在网络 ACL 内移动规则。Firewall Manager 会尽量保留网络 ACL 的保护措施，它在操作时保持合规的现有规则排序。例如，它可能会暂时将规则复制到新位置，然后有序删除原始规则，但在此过程中保留相对位置。

这种方法可以保护您的设置，但也需要在网络 ACL 中为临时规则留出空间。如果 Firewall Manager 达到网络 ACL 中的规则限制，它会停止修复。出现这种情况时，网络 ACL 仍然不合规，Firewall Manager 会报告其原因。

如果某个账户向由 Firewall Manager 管理的网络 ACL 添加了自定义规则，而这些规则干扰了 Firewall Manager 的修复工作，Firewall Manager 会停止对网络 ACL 的任何修复活动并报告存在冲突。

**强制修复**  
如果为策略选择自动修复，则还需要指定是对第一条规则还是最后一条规则强制执行修复。

当在自定义规则和策略规则之间的流量处理中遇到冲突时，Firewall Manager 会引用相应的强制修复设置。如果启用了强制修复，尽管存在冲突，Firewall Manager 也会应用修复。如果未启用此选项，Firewall Manager 会停止修复。无论哪种情况，Firewall Manager 都会报告规则冲突并提供修复选项。

**规则计数要求和限制**  
在修复期间，Firewall Manager 可能会临时复制规则，以便在不改变规则提供的保护的情况下移动规则。

对于入站或出站规则，Firewall Manager 执行修复可能需要的最大规则数如下：

```
2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction
```

网络 ACLs 和网络 ACL 策略受可变规则限制的约束。如果 Firewall Manager 的修复工作达到极限，它将停止尝试修复并报告不合规情况。

您可以申请提高限制，为 Firewall Manager 执行其修复活动留出空间。或者，您可以更改策略或网络 ACL 中的配置，减少使用的规则数。

有关网络 ACL 限制的信息，请参阅 [Amazon VPC *用户指南 ACLs中的 Amazon VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。

**修复失败时**  
在更新网络 ACL 时，如果 Firewall Manager 因故需要停止，它不会回滚更改，而是将网络 ACL 保留在临时状态。如果您在 `FMManaged` 标记设置为 `true` 的网络 ACL 中看到有重复的规则，则 Firewall Manager 可能正在对其进行修复。更改可能会在一段时间内部分完成，但由于 Firewall Manager 采用的修复方法，这不会中断流量或削弱对关联子网的保护。

当 Firewall Manager 无法完全修复不合规的网络 ACLs 时，它会报告关联子网的不合规情况，并建议可能的补救选项。

**修复失败后重试**  
在大多数情况下，如果 Firewall Manager 未能完成对网络 ACL 的修复更改，它最后会重试更改。

例外情况是修复达到网络 ACL 规则计数限制或 VPC 网络 ACL 计数限制时。Firewall Manager 无法执行占用超过其限制设置的 AWS 资源的补救活动。在这些情况下，您需要减小计数或增加限制才能继续。有关限制的信息，请参阅 [Amazon VPC *用户指南 ACLs中的亚马逊 VPC* 网络配额](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。

## Firewall Manager 网络 ACL 合规性报告
<a name="network-acls-compliance"></a>

Firewall Manager 监控并报告连接到范围内子网的所有网络 ACLs 的合规性。

一般来说，不合规发生在规则排序不正确或策略规则与自定义规则之间的流量处理产生冲突等情况下。不合规报告包括违规行为和修复选项。

Firewall Manager 以与其他策略类型相同的方式，报告网络 ACL 策略的合规性违规行为。有关合规性报告的信息，请参阅 [查看 AWS Firewall Manager 策略的合规性信息](fms-compliance.md)。

**策略更新期间不合规**  
修改网络 ACL 策略后，在 Firewall Manager 更新该策略范围内的网络之前 ACLs，Firewall Manager 会将这些网络标记为 ACLs不合规。即使严格来说，即使网络 ACLs 可能合规，Firewall Manager 也会这样做。

例如，如果您从策略规范中删除规则，而范围内的网络 ACLs 仍有额外的规则，则它们的规则定义可能仍符合该策略。但是，由于额外规则是 Firewall Manager 管理的规则的一部分，因此 Firewall Manager 将其视为违反当前的策略设置。这与 Firewall Manager 查看添加到防火墙管理器托管网络的自定义规则的方式不同 ACLs。