

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 防火牆和路由
<a name="firewalls-routing"></a>

 建立 WorkSpaces 應用程式機群時，必須指派子網路和安全群組。子網路具有現有的網路存取控制清單 (NACLs和路由表 (NACL) 指派。在啟動新的映像建置器或建立新機群[安全群組](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html)時，您最多可以建立五個安全群組的關聯，最多可以有[五個來自現有安全群組的指派](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html)。對於每個安全群組，您新增規則來控制來自執行個體的傳出和傳入網路流量

NACL 是 VPC 的選用安全層，可做為無狀態防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL，以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊，請參閱[比較安全群組和 NACLs頁面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。

設計和套用安全群組和 NACL 規則時，請考慮 AWS Well-Architected 最佳實務的最低權限。*最低權限*是僅授予完成任務所需許可的原則。

對於具有高速私有網路將內部部署環境連線至 AWS （透過 AWS Direct Connect) 的客戶，您可以考慮使用 AppStream 的 VPC 端點，這表示串流流量將透過私有網路連線路由，而不是透過公有網際網路。如需本主題的詳細資訊，請參閱本文件的 WorkSpaces 應用程式串流介面 VPC 端點一節。