**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配 Firewall Manager 使用 Amazon VPC 網路存取控制清單 (ACL) 政策
<a name="network-acl-policies"></a>

本節涵蓋 AWS Firewall Manager 網路 ACL 政策的運作方式，並提供使用這些政策的指引。如需使用主控台建立網路 ACL 政策的指引，請參閱 [建立網路 ACL 政策](create-policy.md#creating-firewall-manager-policy-network-acl)。

如需有關 Amazon VPC 網路存取控制清單 (ACLs) 的資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用網路 ACLs 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。

您可以使用 Firewall Manager 網路 ACL 政策來管理組織中的 Amazon Virtual Private Cloud (Amazon VPC) 網路存取控制清單 (ACLs) AWS Organizations。您可以定義政策的網路 ACL 規則設定，以及您要強制執行設定的帳戶和子網路。Firewall Manager 會在在整個組織中新增或更新帳戶和子網路時，持續將您的政策設定套用至這些帳戶和子網路。如需政策範圍 和 的相關資訊 AWS Organizations，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)和 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。

當您定義 Firewall Manager 網路 ACL 政策時，除了標準 Firewall Manager 政策設定，例如名稱和範圍，您還可以提供下列項目：
+ 傳入和傳出流量處理的第一個和最後一個規則。Firewall Manager 會在政策範圍內的網路 ACLs 中強制執行這些項目的存在和排序，或報告不合規。您的個別帳戶可以建立自訂規則，以便在政策的第一個和最後一個規則之間執行。
+ 當修復會導致網路 ACL 中的規則之間發生流量管理衝突時，是否強制修復。這僅適用於針對政策啟用修補時。

## 使用 Firewall Manager 網路 ACL 政策的最佳實務
<a name="network-acls-best-practice"></a>

本節列出使用 Firewall Manager 網路 ACL 政策和受管網路 ACLs 的建議。

**請參閱 `FMManaged`標籤以識別由 Firewall Manager 管理的網路 ACLs**  
Firewall Manager 管理的網路 ACLs 會將`FMManaged`標籤設定為 `true`。使用此標籤來協助區分您自己的自訂網路 ACLs 與您透過 Firewall Manager 管理的 ACL。

**請勿修改網路 ACL 上`FMManaged`標籤的值**  
Firewall Manager 使用此標籤來設定和判斷其具有網路 ACL 的管理狀態。

**請勿修改具有 Firewall Manager 受管網路 ACLs 之子網路的關聯**  
請勿手動變更子網路與 Firewall Manager 管理的任何網路 ACLs 之間的關聯。這樣做可以停用 Firewall Manager 管理這些子網路保護的能力。您可以透過尋找 的`FMManaged`標籤設定來識別由 Firewall Manager 管理的網路 ACLs`true`。

若要從 Firewall Manager 政策管理中移除子網路，請使用 Firewall Manager 政策範圍設定來排除子網路。例如，您可以標記子網路，然後從政策範圍中排除該標籤。如需詳細資訊，請參閱[使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

**當您更新受管網路 ACL 時，請勿修改 Firewall Manager 管理的規則**  
在 Firewall Manager 管理的網路 ACL 中，遵循 中所述的編號機制，將您的自訂規則與政策規則分開[在 Firewall Manager 中使用網路 ACL 規則和標記](network-acls-fms-managed.md)。僅新增或修改數字介於 5，000 到 32，000 之間的規則。

**避免為您的帳戶限制新增太多規則**  
在修復網路 ACL 期間，防火牆管理員通常會暫時增加網路 ACL 規則計數。為了避免不合規問題，請確定您有足夠的空間容納正在使用的規則。如需詳細資訊，請參閱[Firewall Manager 如何修復不合規的受管網路 ACLs](network-acls-remediation.md)。

**從停用自動修補開始**  
從停用自動修復開始，然後檢閱政策詳細資訊，以判斷自動修復會帶來的影響。當您確認這些變更正是您所需的時，請編輯政策，以啟用自動修補。

## Firewall Manager 網路 ACL 政策注意事項
<a name="network-acls-caveats"></a>

本節列出使用 Firewall Manager 網路 ACL 政策的注意事項和限制。
+ **更新時間比其他政策慢** – Firewall Manager 通常會比其他 Firewall Manager 政策更慢地套用網路 ACL 政策和政策變更，因為 Amazon EC2 網路 ACL APIs 能夠處理請求的速率有限。您可能會注意到政策變更需要比其他 Firewall Manager 政策的類似變更更長的時間，特別是當您第一次新增政策時。
+ **對於初始子網路保護，防火牆管理員偏好較舊的政策** – 這僅適用於尚未受到防火牆管理員網路 ACL 政策保護的子網路。如果子網路同時進入多個網路 ACL 政策的範圍，則 Firewall Manager 會使用最舊的政策來保護子網路。
+ **政策停止保護子網路的原因** – 管理子網路網路 ACL 的政策會保留管理，直到發生下列其中一種情況：
  + 子網路超出政策的範圍。
  + 政策已刪除。
  + 您可以手動將子網路的關聯變更為由不同 Firewall Manager 政策管理且子網路在範圍內的網路 ACL。

**Topics**
+ [使用 Firewall Manager 網路 ACL 政策的最佳實務](#network-acls-best-practice)
+ [Firewall Manager 網路 ACL 政策注意事項](#network-acls-caveats)
+ [在 Firewall Manager 中使用網路 ACL 規則和標記](network-acls-fms-managed.md)
+ [Firewall Manager 如何啟動子網路的網路 ACL 管理](network-acls-initialization.md)
+ [Firewall Manager 如何修復不合規的受管網路 ACLs](network-acls-remediation.md)
+ [刪除 Firewall Manager 網路 ACL 政策](network-acls-deletion.md)

# 在 Firewall Manager 中使用網路 ACL 規則和標記
<a name="network-acls-fms-managed"></a>

本節說明網路 ACL 政策規則規格，以及 Firewall Manager 管理的網路 ACLs。

**受管網路 ACL 上的標記**  
Firewall Manager 會使用值為 的`FMManaged`標籤來標記受管網路 ACL`true`。Firewall Manager 只會對具有此標籤設定的網路 ACLs 執行修復。

**您在政策中定義的規則**  
在網路 ACL 政策規格中，您可以定義您要針對傳入流量先執行和最後執行的規則，以及您要針對傳出流量先執行和最後執行的規則。

根據預設，您最多可以定義 5 個傳入規則，以政策中第一個和最後一個規則的任意組合使用。同樣地，您最多可以定義 5 個傳出規則。如需這些限制的詳細資訊，請參閱 [軟配額](fms-limits.md#fms-limits-mutable)。如需有關網路 ACLs 一般限制的資訊，請參閱《[Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。 **

您不會將規則編號指派給政策規則。反之，您可以按照您希望評估規則的順序指定規則，而 Firewall Manager 會使用該順序在管理的網路 ACLs 中指派規則編號。

除此之外，您可以管理政策的網路 ACL 規則規格，就像透過 Amazon VPC 管理網路 ACL 中的規則一樣。如需 Amazon VPC 中網路 ACL 管理的資訊，請參閱《**Amazon VPC 使用者指南**》中的[使用網路 ACLs 和使用網路 ACL 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。 [ ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) 

**受管網路 ACL 中的規則**  
Firewall Manager 會在個別帳戶管理員定義的任何自訂規則之前和之後放置政策的第一個和最後一個規則，藉此在管理的網路 ACL 中設定規則。Firewall Manager 會保留自訂規則的順序。從編號最低的規則開始評估網路 ACLs。

Firewall Manager 第一次建立網路 ACL 時，會定義具有下列編號的規則：
+ **第一個規則：1、2、...** – 由您在 Firewall Manager 網路 ACL 政策中定義。

  Firewall Manager 會指派從 1 開始的規則編號，增量為 1，並依照您在政策規格中排序的規則排序。
+ **自訂規則：5，000、5，100、...** – 由個別客戶經理透過 Amazon VPC 管理。

  Firewall Manager 會將數字指派給這些規則，從 5，000 開始，並為每個後續規則遞增 100。
+ **最後一個規則：... 32，765， 32，766** – 由您在 Firewall Manager 網路 ACL 政策中定義。

  Firewall Manager 會指派以最高可能數目結尾的規則編號 32766，增量為 1，並依您在政策規格中排序的規則排序。

網路 ACL 初始化後，防火牆管理員不會控制個別帳戶在其受管網路 ACLs 中所做的變更。個別帳戶可以在不違反合規的情況下變更網路 ACL，前提是任何自訂規則在政策的第一個和最後一個規則之間保持編號，而第一個和最後一個規則維持其指定的順序。根據最佳實務，管理自訂規則時，請遵循本節所述的編號。

# Firewall Manager 如何啟動子網路的網路 ACL 管理
<a name="network-acls-initialization"></a>

本節說明 Firewall Manager 如何啟動子網路的網路 ACL 管理。

Firewall Manager 將子網路與 Firewall Manager 建立並標記為 `FMManaged` 的網路 ACL 建立關聯時，會開始管理子網路的網路 ACL`true`。

遵循網路 ACL 政策需要子網路的網路 ACL 先依政策中指定的順序放置政策的第一個規則、最後放置最後一個規則的順序，以及位於中間的任何其他自訂規則。這些需求可由子網路已與受管網路 ACL 建立關聯的未受管網路 ACL 滿足。

當 Firewall Manager 將網路 ACL 政策套用至與未受管網路 ACL 相關聯的子網路時， Firewall Manager 會依序檢查下列項目，並在識別可行選項時停止：

1. **關聯的網路 ACL 已經合規** – 如果目前與子網路相關聯的網路 ACL 合規，則 Firewall Manager 會保留該關聯，而不會啟動子網路的網路 ACL 管理。

   Firewall Manager 不會變更或以其他方式管理非其擁有的網路 ACL，但只要符合規範， Firewall Manager 就會將其保留並監控其是否符合政策。

1. **提供合規的受管網路 ACL** – 如果 Firewall Manager 已管理符合所需組態的網路 ACL，則這是選項。如果啟用修復，防火牆管理員會將子網路與其建立關聯。如果停用修復，防火牆管理員會將子網路標記為不合規，並提供取代網路 ACL 關聯作為修復選項。

1. **建立新的合規受管網路 ACL** – 如果啟用修復，防火牆管理員會建立新的網路 ACL，並將其與子網路建立關聯。否則，防火牆管理員會將子網路標記為不合規，並提供修復選項來建立新的網路 ACL 和取代網路 ACL 關聯。

如果這些步驟失敗，防火牆管理員會報告子網路的不合規。

當子網路第一次進入範圍，以及子網路的未受管網路 ACL 不合規時，防火牆管理員會遵循這些步驟。

# Firewall Manager 如何修復不合規的受管網路 ACLs
<a name="network-acls-remediation"></a>

本節說明 Firewall Manager 如何在不符合政策時修復其受管網路 ACLs。Firewall Manager 只會修復受管網路 ACLs，並將`FMManaged`標籤設定為 `true`。如需非由 Firewall Manager 管理的網路 ACLs，請參閱 [初始網路 ACL 管理](network-acls-initialization.md)。

修復會還原第一個、自訂和最後一個規則的相對位置，並還原第一個和最後一個規則的排序。在修復期間，防火牆管理員不一定會將規則移至網路 ACL 初始化中使用的規則號碼。如需這些規則類別的初始數字設定和說明，請參閱 [初始網路 ACL 管理](network-acls-initialization.md)。

為了建立合規規則和規則排序，防火牆管理員可能需要在網路 ACL 內移動規則。Firewall Manager 會盡可能維持現有的合規規則順序，以保留網路 ACL 的保護。例如，它可能會暫時將規則複製到新位置，然後依序移除原始規則，在程序期間保留相對位置。

此方法可保護您的設定，但臨時規則也需要網路 ACL 中的空間。如果 Firewall Manager 達到網路 ACL 中規則的限制，將會停止修復。發生這種情況時，網路 ACL 會維持不合規狀態，且 Firewall Manager 會報告原因。

如果帳戶將自訂規則新增至由 Firewall Manager 管理的網路 ACL，且這些規則干擾 Firewall Manager 修補，則 Firewall Manager 會停止網路 ACL 上的任何修補活動並報告衝突。

**強制修復**  
如果您選擇政策的自動修復，您也可以指定要強制第一個規則或最後一個規則的修復。

當 Firewall Manager 在自訂規則和政策規則之間遇到流量處理衝突時，它是指對應的強制修復設定。如果啟用強制修復，即使發生衝突， Firewall Manager 仍會套用修復。如果未啟用此選項，防火牆管理員會停止修復。在任何一種情況下，防火牆管理員都會報告規則衝突並提供修補選項。

**規則計數需求和限制**  
在修復期間，防火牆管理員可能會暫時複製規則，以便在不變更其提供的保護的情況下移動規則。

對於傳入或傳出規則，防火牆管理員可能需要執行修復的最大規則數量如下：

```
2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction
```

網路 ACLs 和網路 ACL 政策受可變規則限制約束。如果 Firewall Manager 在修復工作中達到限制，則會停止嘗試修復和報告不合規。

若要讓 Firewall Manager 有空間執行其修補活動，您可以請求提高限制。或者，您可以變更政策或網路 ACL 中的組態，以減少使用的規則數量。

如需網路 ACL 限制的相關資訊，請參閱《[Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。 **

**當修復失敗時**  
更新網路 ACL 時，如果 Firewall Manager 因任何原因需要停止，則不會轉返變更，而是讓網路 ACL 處於臨時狀態。如果您在`FMManaged`標籤設定為 的網路 ACL 中看到重複的規則`true`，則 Firewall Manager 可能正在修復它。變更可能會部分完成一段時間，但由於 Firewall Manager 採取的修復方法，這不會中斷流量或減少對相關聯子網路的保護。

當 Firewall Manager 未完全修復不合規的網路 ACLs 時，它會報告相關聯子網路的不合規情況，並建議可能的修復選項。

**修復失敗後重試**  
在大多數情況下，如果 Firewall Manager 無法完成網路 ACL 的修復變更，最終會重試變更。

例外狀況是修補達到網路 ACL 規則計數限制或 VPC 網路 ACL 計數限制時。Firewall Manager 無法執行將 AWS 資源超過其限制設定的修復活動。在這些情況下，您需要減少計數或增加限制才能繼續。如需限制的相關資訊，請參閱《[Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。 **

## Firewall Manager 網路 ACL 合規報告
<a name="network-acls-compliance"></a>

Firewall Manager 會監控並報告連接到範圍內子網路的所有網路 ACLs 的合規性。

一般而言，如果規則順序不正確或政策規則與自訂規則之間的流量處理行為發生衝突，就會發生不合規。不合規報告包括合規違規和修復選項。

Firewall Manager 以與其他政策類型相同的方式報告網路 ACL 政策的合規違規。如需合規報告的資訊，請參閱 [檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

**政策更新期間的不合規**  
修改網路 ACL 政策後，在 Firewall Manager 更新政策範圍內的網路 ACLs 之前，防火牆管理員會將這些網路 ACLs 標記為不合規。即使網路 ACLs可能嚴格地說符合規範， Firewall Manager 也會這樣做。

例如，如果您從政策規格中移除規則，雖然範圍內網路 ACLs 仍有額外的規則，但其規則定義仍可能符合政策。不過，由於額外的規則是 Firewall Manager 管理規則的一部分，因此 Firewall Manager 會將它們視為違反目前政策設定的行為。這與 Firewall Manager 如何檢視您新增至 Firewall Manager 受管網路 ACLs自訂規則不同。

# 刪除 Firewall Manager 網路 ACL 政策
<a name="network-acls-deletion"></a>

本節說明當您刪除 Firewall Manager 網路 ACL 政策時，防火牆管理員會發生什麼情況。

當您刪除 Firewall Manager 網路 ACL 政策時，防火牆管理員會在其為政策管理的所有網路 ACLs `false` 上將`FMManaged`標籤值變更為 。

此外，您可以選擇是否要清除政策建立的資源。如果您選擇清除， Firewall Manager 會依序嘗試下列步驟：

1. **將關聯放回原始** - Firewall Manager 會嘗試將子網路關聯回防火牆管理員開始管理子網路之前與其相關聯的網路 ACL。

1. **從網路 ACL 移除第一個和最後一個規則** – 如果無法變更關聯，防火牆管理員會嘗試移除政策的第一個和最後一個規則，只保留與子網路相關聯的網路 ACL 中的自訂規則。

1. **不對規則或關聯執行**任何動作 – 如果無法執行上述任一動作，則 Firewall Manager 會保留網路 ACL 及其關聯。

如果您未選擇清除選項，則需要在刪除政策後手動管理每個網路 ACL。在大多數情況下，選擇清理是最簡單的方法。