Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

引入全新的主机体验 Amazon WAF

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅 使用更新的主机体验。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在 Firewall Manager 中使用网络 ACL 规则和标记

本节介绍网络 ACL 策略规则规范以及由 Firewall Manager 管理的网络 ACLs 。

在托管网络 ACL 上进行标记

Firewall Manager 使用值为 true 的 FMManaged 标签来标记托管网络 ACL。Firewall Manager 仅在设置了 ACLs 此标签的网络上执行修复。

您在策略中定义的规则

在网络 ACL 策略规范中，您可以为入站流量定义要首先和最后运行的规则，并为出站流量定义要首先和最后运行的规则。

默认情况下，您可以定义最多 5 条入站规则，按照策略中第一条和最后一条规则的任意组合使用。同样，您可以定义最多 5 条出站规则。有关这些限制的更多信息，请参阅 软限额。有关网络的一般限制的信息 ACLs，请参阅 Amazon VPC 用户指南 ACLs中的 Amazon VPC 网络配额。

您不需要为策略规则分配规则编号。相反，您可以按照评估规则的顺序指定规则，然后 Firewall Manager 使用该顺序在其管理的网络 ACLs 中分配规则编号。

此外，您还可以管理策略的网络 ACL 规则规范，就如同通过 Amazon VPC 管理网络 ACL 中的规则一样。有关 Amazon VPC 中网络 ACL 管理的信息，请参阅 A mazon VPC 用户指南 ACLs中的使用网络控制子网流量 ACLs和使用网络。

托管网络 ACL 中的规则

Firewall Manager 在其管理的网络 ACL 中配置规则，它将策略的第一条和最后一条规则置于个人账户管理人员定义的任何自定义规则之前和之后。Firewall Manager 保留自定义规则的顺序。从编号最低的规则开始评估网络 ACLs 。

Firewall Manager 首次创建网络 ACL 时，它使用以下编号定义规则：

网络 ACL 初始化后，Firewall Manager 无法控制各个帐户在其托管网络中所做的更改 ACLs。个人账户可以更改网络 ACL 而不使其违反规定，前提是任何自定义规则的编号保持在策略的第一条和最后一条规则之间，且第一条和最后一条规则保持其指定的顺序。在管理自定义规则时，最佳做法是遵守本节所述的编号。