常见问题解答

在多可用区部署中，我是否需要负载均衡器才能通过防火墙路由互联网流量？

AWS Network Firewall 对传入和传出流量透明，本身不需要负载均衡器。只有应用程序需要负载均衡器（如标准的多可用区部署）。在本指南的外围区域架构中，Network Firewall 通过路由表和公有子网中的相应网络接口插入。

如果 Application Load Balancer 不在公有子网中（路由到 Internet 网关），那么它是内部应用程序负载均衡器吗？

应用程序负载均衡器不是内部应用程序负载均衡器。Application Load Balancer 会继续连接到面向互联网的外部子网，即使该子网没有直接连接到互联网。由于从终端的子网到公有子网的路由基于 Network Firewall 的网络接口，因此该子网对互联网来说是透明的。

Network Firewall 需要自己的安全子网吗？

是，Network Firewall 需要自己的安全子网。需要使用安全子网（公有）来确保可以通过路由表控制进出应用程序负载均衡器的流量的路由。

目标架构对入口和出口流量防火墙都有效吗？

是，目标架构对入口和出口流量防火墙都有效。如果从应用程序启动到 VPC 外部的连接，则必须向终端节点的子网添加 NAT 网关。此外，您必须使用路由表将流量从应用程序的子网转发到 NAT 网关（如本指南中基于 Network Firewall 的外围区域架构的图表中的路由表应用程序所示）。然后，无需进行进一步的更改，因为所有传出流量仍会通过 Network Firewall。