Security Group과 NACL은 VPC 트래픽의 기본 통제지만 한계가 명확하다. Security Group은 상태 저장(stateful)이되 단순 허용/거부만 하고, NACL은 상태 비저장(stateless)이며 둘 다 IP·포트·프로토콜 수준이다. "특정 도메인으로의 아웃바운드만 허용", "패킷 페이로드 안의 서명(IPS)으로 침입을 탐지", "TLS SNI 기반 도메인 차단" 같은 요구는 이들로 풀 수 없다. AWS Network Firewall(관리형 stateful/stateless 검사 엔진)과 Route 53 Resolver DNS Firewall(DNS 질의 필터링)이 이 공백을 메운다.
AWS Network Firewall는 VPC 안에 firewall endpoint(가용영역별 ENI)를 배치하고, 라우팅으로 트래픽을 이 엔드포인트로 강제 통과시켜 검사한다. 구성 요소는 세 층이다.