本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 防火牆和路由 建立 WorkSpaces 應用程式機群時,必須指派子網路和安全群組。子網路具有網路存取控制清單 (NACLs) 和路由表 (NACL) 的現有指派。您可以在啟動新的映像建置器時關聯[最多五個安全群組](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html),或在建立新的機群安全群組時,最多可以從[現有的安全群組進行五個指派](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html)。對於每個安全群組,您新增規則來控制來自執行個體的傳出和傳入網路流量 NACL 是 VPC 的選用安全層,可做為無狀態防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL,以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊,請參閱[比較安全群組和 NACLs頁面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。 設計和套用安全群組和 NACL 規則時,請考慮 AWS Well-Architected 最佳實務的最低權限。*最低權限*是僅授予完成任務所需許可的原則。 對於具有高速私有網路將內部部署環境連線至 AWS (透過 AWS Direct Connect) 的客戶,您可以考慮使用 AppStream 的 VPC 端點,這表示串流流量將透過私有網路連線路由,而不是透過公有網際網路。如需本主題的詳細資訊,請參閱本文件的 WorkSpaces 應用程式串流介面 VPC 端點一節。