Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

介绍 Amazon WAF 的全新控制台体验

现在，您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅 使用更新的控制台体验。

在 Firewall Manager 中使用网络 ACL 规则和标记

本节介绍了网络 ACL 策略规则规范以及 Firewall Manager 管理的网络 ACL。

在托管网络 ACL 上进行标记

Firewall Manager 使用值为 true 的 FMManaged 标签来标记托管网络 ACL。Firewall Manager 仅对设置有此标签的网络 ACL 进行修复。

您在策略中定义的规则

在网络 ACL 策略规范中，您可以为入站流量定义要首先和最后运行的规则，并为出站流量定义要首先和最后运行的规则。

默认情况下，您可以定义最多 5 条入站规则，按照策略中第一条和最后一条规则的任意组合使用。同样，您可以定义最多 5 条出站规则。有关这些限制的更多信息，请参阅 软限额。有关网络 ACL 一般限制的信息，请参阅《Amazon VPC 用户指南》中的网络 ACL 中的 Amazon VPC 配额。

您不需要为策略规则分配规则编号。相反，您可以按照想要对规则进行评估的顺序指定规则，然后 Firewall Manager 使用此顺序在其管理的网络 ACL 中分配规则编号。

此外，您还可以管理策略的网络 ACL 规则规范，就如同通过 Amazon VPC 管理网络 ACL 中的规则一样。有关在 Amazon VPC 中进行网络 ACL 管理的信息，请参阅《Amazon VPC 用户指南》中的使用网络 ACL 控制指向子网的流量和使用网络 ACL。

托管网络 ACL 中的规则

Firewall Manager 在其管理的网络 ACL 中配置规则，它将策略的第一条和最后一条规则置于个人账户管理人员定义的任何自定义规则之前和之后。Firewall Manager 保留自定义规则的顺序。网络 ACL 评估从编号最低的规则起开始进行。

Firewall Manager 首次创建网络 ACL 时，它使用以下编号定义规则：

网络 ACL 初始化后，Firewall Manager 无法控制个人账户在其托管网络 ACL 中做出的更改。个人账户可以更改网络 ACL 而不使其违反规定，前提是任何自定义规则的编号保持在策略的第一条和最后一条规则之间，且第一条和最后一条规则保持其指定的顺序。在管理自定义规则时，最佳做法是遵守本节所述的编号。