**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 Amazon Firewall Manager Amazon VPC 网络 ACL 策略
<a name="getting-started-fms-network-acl"></a>

 Amazon Firewall Manager 要使用 ACLs 在整个组织中启用网络，请按顺序执行本节中的步骤。

有关网络的信息 ACLs，请参阅 *Amazon VPC 用户指南 ACLs*中的[使用网络控制子网流量](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-network-acls.html)。

**Topics**
+ [步骤 1：完成先决条件](#complete-prereq-network-acl)
+ [步骤 2：创建网络 ACL 策略](#get-started-fms-nacl-create-security-policy)

## 步骤 1：完成先决条件
<a name="complete-prereq-network-acl"></a>

为 Amazon Firewall Manager准备您的账户有几个必要步骤。[Amazon Firewall Manager 先决条件](fms-prereq.md) 中介绍了这些步骤。在继续执行 [步骤 2：创建网络 ACL 策略](#get-started-fms-nacl-create-security-policy) 之前，请完成所有先决条件。

## 步骤 2：创建网络 ACL 策略
<a name="get-started-fms-nacl-create-security-policy"></a>

完成先决条件后，您将创建一个 Firewall Manager 网络 ACL 策略。网络 ACL 策略为您的整个 Amazon 组织提供集中控制的网络 ACL 定义。它还定义了网络 ACL 适用的 Amazon Web Services 账户 和子网。

有关 Firewall Manager 网络 ACL 策略的信息，请参阅 [网络 ACL 策略](network-acl-policies.md)。

有关 Firewall Manager 网络 ACL 策略的一般信息，请参阅 [网络 ACL 策略](network-acl-policies.md)。

**注意**  
在本教程中，您不将网络 ACL 应用到组织中的子网。您将仅创建策略，并查看将策略的网络 ACL 应用到子网时会发生什么情况。您可以通过在策略上禁用自动修复来执行此操作。

**创建 Firewall Manager 网络 ACL 策略（控制台）**

1.  Amazon Web Services 管理控制台 使用您的 Firewall Manager 管理员帐户登录，然后打开防火墙管理器控制台，网址为[https://console.amazonaws.cn/wafv2/fmsv2](https://console.amazonaws.cn/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息，请参阅 [Amazon Firewall Manager 先决条件](fms-prereq.md)。
**注意**  
有关设置 Firewall Manager 管理员账户的信息，请参阅 [Amazon Firewall Manager 先决条件](fms-prereq.md)。

1. 在导航窗格中，选择**安全策略**。

1. 如果您未满足先决条件，控制台会显示有关如何解决任何问题的说明。按照说明操作，然后返回此步骤以创建网络 ACL 策略。

1. 选择**创建策略**。

1. 在 “**区域**” 中，选择一个 Amazon Web Services 区域。

1. 对于**策略类型**，请选择**网络 ACL**。

1. 选择**下一步**。

1. 对于**策略名称**，请键入策略的描述性名称。

1. 对于**网络 ACL 策略规则**，定义针对入站和出站流量的第一个和最后一个规则。

   您在 Firewall Manager 中定义网络 ACL 规则与通过 Amazon VPC 进行定义的方式类似。唯一的区别是您不用自己分配规则编号，而是指定每组规则的运行顺序，然后 Firewall Manager 在您保存策略时为您分配规则编号。您最多可以定义 5 条入站规则，它们以任意方式划分到第一条和最后一条规则之间，您最多可以定义 5 条出站规则。

   有关指定网络 ACL 规则的指南，请参阅*《Amazon VPC 用户指南》*中的[添加和删除网络 ACL 规则](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-network-acls.html#Rules)。

   您在 Firewall Manager 策略中定义的规则指定了网络 ACL 为符合网络 ACL 策略而必须具备的最低规则配置。例如，网络 ACL 的入站规则必须以策略的入站第一条规则开始，并符合策略中指定的顺序，否则就不符合策略的要求。有关更多信息，请参阅 [网络 ACL 策略](network-acl-policies.md)。

1. 对于 **策略操作**，请选择 **确定不符合策略规则的资源，但不自动修复**。

1. 选择**下一步**。

1. **Amazon Web Services 账户 受此政策**影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程，选择 **包括我的组织下的所有账户**。

   网络 ACL 策略的**资源类型**始终是子网。

1. 对于**资源**，可以使用标签来缩小策略的范围，您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”，但两者不能同时使用。有关定义策略范围的标签的更多信息，请参阅 [使用 Amazon Firewall Manager 策略范围](policy-scope.md)。

   资源标签只能有非空值。如果忽略标签的值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

1. 选择**下一步**。

1. 对于**策略标签**，请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息，请参阅[使用标签编辑器](https://docs.amazonaws.cn/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 选择**下一步**。

1. 查看新的政策设置，然后返回需要进行任何调整的页面。

   进行检查以确保**策略操作**设置为**确定不符合策略规则的资源，但不自动修复**。这样，您就可以在启用更改之前查看策略要做出的更改。

1. 若您满意所创建的策略，请选择**创建策略**。

   **Amazon Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**，并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅 [查看 Amazon Firewall Manager 策略的合规性信息](fms-compliance.md)

1. 在探索完成后，如果您不希望保留为本教程创建的策略，请依次选择策略名称、**删除**、**清除此策略创建的资源**，最后选择**删除**。

有关 Firewall Manager 网络 ACL 策略的更多信息，请参阅 [网络 ACL 策略](network-acl-policies.md)。