常見問答集

在多可用區部署中，我是否需要負載平衡器來透過防火牆路由網際網路流量？

AWS Network Firewall 對傳入和傳出流量透明，且本身不需要負載平衡器。僅應用程式需要負載平衡器 (與標準多可用區部署一樣)。在本指南的周邊區域架構中，網路防火牆是透過路由表和公有子網路中對應的網路介面插入。

如果 Application Load Balancer 不在公有子網路中 （路由到網際網路閘道），則它是內部 Application Load Balancer 嗎？

Application Load Balancer 不是內部 Application Load Balancer。Application Load Balancer 會繼續連接到面向網際網路的外部子網路，即使子網路未直接連接到網際網路也一樣。網際網路透明地可以使用子網路，因為從端點子網路到公有子網路的路由是以網路防火牆的網路介面為基礎。

Network Firewall 是否需要自己的安全子網路？

是，Network Firewall 需要自己的安全子網路。需要安全子網路 (公有) 以確保可以透過路由表控制往返 Application Load Balancer 的流量路由。

目標架構是否對輸入和輸出流量防火牆都有效？

是，目標架構對輸入和輸出流量防火牆都有效。如果連線是從應用程式起始到 VPC 外部，則必須將 NAT 閘道新增至端點的子網路。此外，您必須使用路由表將流量從應用程式的子網路轉送到 NAT 閘道 （如本指南中基於網路防火牆區段的周邊區域架構圖表中的路由表應用程式所示）。然後，不需要進一步變更，因為所有傳出流量仍然通過 Network Firewall。