Deployment models for AWS Network Firewallを参考に以下の構成パターンで動作確認してみた。
これらの構成の組み合わせで、更に拡張した構成も構築できる！はず。

EC2にパブリックアドレスを持たせるか、図のようにNATを経由するパターンがある。
ポイントは、インターネットゲートウェイにルートテーブルを関連付けるところで、Internet Gatewayを通過する時にFirewall Endpointを経由させることができるようになる。

TransitGatewayで接続した通信を、集中管理する構成
ポイントは何をおいてもルートテーブルで、行き返りの経路を意識したルーティングが必要になる。
マルチAZ構成にする時は、NetworkFirewallを設置するVPCのTransitGatewayアタッチメントはアプライアンスモードを有効にすること！