本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 常见问题解答 **在多可用区部署中,我是否需要负载均衡器才能通过防火墙路由互联网流量?** AWS Network Firewall 对传入和传出流量透明,本身不需要负载均衡器。只有应用程序需要负载均衡器(如标准的多可用区部署)。在本指南的外围区域架构中,Network Firewall 通过路由表和公有子网中的相应网络接口插入。 **如果 Application Load Balancer 不在公有子网中(路由到 Internet 网关),那么它是内部应用程序负载均衡器吗?** 应用程序负载均衡器不是内部应用程序负载均衡器。Application Load Balancer 会继续连接到面向互联网的外部子网,即使该子网没有直接连接到互联网。由于从终端的子网到公有子网的路由基于 Network Firewall 的网络接口,因此该子网对互联网来说是透明的。 **Network Firewall 需要自己的安全子网吗?** 是,Network Firewall 需要自己的安全子网。需要使用安全子网(公有)来确保可以通过路由表控制进出应用程序负载均衡器的流量的路由。 **目标架构对入口和出口流量防火墙都有效吗?** 是,目标架构对入口和出口流量防火墙都有效。如果从应用程序启动到 VPC 外部的连接,则必须向终端节点的子网添加 NAT 网关。此外,您必须使用路由表将流量从应用程序的子网转发到 NAT 网关(如本指南中[基于 Network Firewall 的外围区域架构](architecture.md#perimeter-zone-applications-network-firewall)的图表中的**路由表应用程序**所示)。然后,无需进行进一步的更改,因为所有传出流量仍会通过 Network Firewall。