参考链接

1. https://repost.aws/zh-Hans/knowledge-center/network-firewall-configure-domain-rules
2. https://aws.amazon.com/cn/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/

1. 创建防火墙

选择防火墙的归属子网（选择公有子网）

2. 创建规则白名单域名放行

3. 绑定相关规则

继续往下拉 绑定非托管规则

4. 配置网络路由 相关规则

参考官网

解释

1. 防火墙的归属子网路由表规则
2. 机器实例的规则子网路由表规则
3. 创建单独的路由表边缘关联vpc igw
   
   先在心里大概有个概念 我们先创建相关资源

4.创建ec2资源 配置eip （有公网ip才能访问公网）

建议新建一个公有子网放这台被防护的机器，稍后会修改成私有子网

注意：想要防火墙保护对应资源 必须配置在私有子网 此子网的路由全部指向防火墙才行
所以 我们需要提前配置好其他内网机器能够ssh跳转到测试机器，也得保证有公网ip

5. 开始配置3个子网路由规则

1.机器的子网路由（上一步新建的需要防火墙防护的机器）

修改此路由表

2. 防火墙的归属子网路由修改确认

vpc 防火墙控制台 点击（在创建防火墙时就选择了公有子网，则无需修改确认下路由即可）

保证防火墙归属子网路由 是有指向到igw 出网的

3. igw的路由表创建和边缘关联

6. 配置完成，测试效果

路由配置较复杂严格参考官网的来

测试
内网机器跳转到实验机器
访问相关配置规则域名