本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為您的 VPC 建立網路 ACL
<a name="create-network-acl"></a>

下列任務說明如何建立網路 ACL、將規則新增至網路 ACL，然後將網路 ACL 與子網路建立關聯。

**Topics**
+ [步驟 1：建立網路 ACL](#CreateACL)
+ [步驟 2：新增規則](#Rules)
+ [步驟 3：將子網路與網路 ACL 建立關聯](#NetworkACL)
+ [(選用) 透過 Firewall Manager 管理網路 ACL](#nacls-using-firewall-manager)

## 步驟 1：建立網路 ACL
<a name="CreateACL"></a>

您可以為 VPC 建立自訂網路 ACL。自訂網路 ACL 的初始規則會封鎖所有傳入與傳出流量。您的新自訂網路 ACL 預設不會與子網路建立關聯，但必須與子網路明確建立關聯。

**透過主控台建立網路 ACL**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Network ACLs (網路 ACL)**。

1. 選擇**建立網路 ACL**。

1. (選用) 在**名稱**欄位中，輸入網路 VPC 的名稱。

1. 在 **VPC** 欄位中選取 VPC。

1. (選用) 在**標籤**欄位中選擇**新增標籤**，然後輸入標籤索引鍵與標籤值。

1. 選擇**建立網路 ACL**。

**透過命令列建立網路 ACL**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

## 步驟 2：新增規則
<a name="Rules"></a>

您可以新增允許或拒絕傳入或傳出流量的規則。

我們會從最小的編號開始，按照順序來處理規則。建議您在規則編號之間保留間隔 (例如 100、200、300)，而不是使用連續編號 (101、102、103)。這麼做可讓您更輕鬆地新增規則，而不需要重新編號現有的規則。

如果您使用的是 Amazon EC2 API 或命令列工具，則無法修改規則。您只能新增和刪除規則。如果您使用的是 Amazon VPC 主控台，則可以修改現有規則的項目。主控台會移除現有的規則，並為您新增規則。如果您需要變更 ACL 中的規則順序，您必須使用新的規則編號來新增規則，然後刪除原始規則。

**透過主控台將規則新增至網路 ACL**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Network ACLs (網路 ACL)**。

1. 選擇網路 ACL。

1. 若要新增傳入規則，請執行下列動作：

   1. 選擇 **Inbound Rules** (傳入規則) 索引標籤。

   1. 依次選擇**編輯傳入規則**、**新增規則**。

   1. 輸入尚未使用的規則編號、類型、通訊協定、連接埠範圍、來源，以及是否允許或拒絕流量。對於某些類型，我們會為您填寫通訊協定與連接埠。如果系統提示您輸入連接埠範圍，請輸入連接埠編號或連接埠範圍 (例如 49152-65535)。

      若要使用未列出的通訊協定，請選擇**自訂通訊協定**類型，然後選取通訊協定。如需詳細資訊，請參閱 [IANA 通訊協定編號](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。

   1. 選擇**儲存變更**。

1. 若要新增傳出規則，請執行下列動作：

   1. 選擇 **Outbound rules** (傳出規則) 索引標籤。

   1. 依次選擇**編輯傳出規則**、**新增規則**。

   1. 輸入尚未使用的規則編號、類型、通訊協定、連接埠範圍、來源，以及是否允許或拒絕流量。對於某些類型，我們會為您填寫通訊協定與連接埠。如果系統提示您輸入連接埠範圍，請輸入連接埠編號或連接埠範圍 (例如 49152-65535)。

      若要使用未列出的通訊協定，請選擇**自訂通訊協定**類型，然後選取通訊協定。如需詳細資訊，請參閱 [IANA 通訊協定編號](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。

   1. 選擇**儲存變更**。

**透過命令列將規則新增至網路 ACL**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

**透過命令列取代網路 ACL 中的規則**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

**透過命令列刪除網路 ACL 中的規則**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

## 步驟 3：將子網路與網路 ACL 建立關聯
<a name="NetworkACL"></a>

若要將網路 ACL 的規則套用至特定子網路，您必須將子網路與網路 ACL 建立關聯。您可以將網路 ACL 與多個子網路建立關聯。不過，一個子網路只能與一個網路 ACL 相關聯。根據預設，如果有任何未與特定 ACL 相關聯的子網路，系統會將其與預設網路 ACL 建立關聯。

**將子網路與網路 ACL 建立關聯**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Network ACLs (網路 ACL)**，然後選取網路 ACL。

1. 在詳細資訊窗格中，在 **Subnet Associations (子網路關聯)** 標籤上，選擇 **Edit (編輯)**。選取子網路的 **Associate (關聯)** 核取方塊以與網路 ACL 建立關聯，然後選擇 **Save (儲存)**。

## (選用) 透過 Firewall Manager 管理網路 ACL
<a name="nacls-using-firewall-manager"></a>

AWS Firewall Manager 簡化跨多個帳戶和子網路的網路 ACL 管理和維護任務。您可以使用 Firewall Manager 來監控組織中的帳戶和子網路，並自動套用您定義的網路 ACL 組態。當您想要保護整個組織，或者您經常新增要從中央系統管理員帳戶自動保護的新子網路時，Firewall Manager 特別有用。

使用 Firewall Manager 網路 ACL 政策，您可以使用單一管理員帳戶來設定、監控和管理您想要在組織中使用的網路 ACL 中定義的最小規則集。您可以指定組織中哪些帳戶和子網路在 Firewall Manager 政策的範圍內。Firewall Manager 會報告範圍內子網路的網路 ACL 合規狀態，而且您可以設定 Firewall Manager 來自動修復不合規的網路 ACL。

如需詳細資訊，請參閱《AWS Firewall Manager 開發人員指南》**中的下列資源：
+ [AWS Firewall Manager 先決條件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [設定 AWS Firewall Manager 網路 ACL 政策](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [搭配 Firewall Manager 使用網路 ACL 政策](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)