Upgrade to Pro — share decks privately, control downloads, hide ads and more …

図で理解するAWS Network Firewallのアーキテクチャ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Atsushi Satou Atsushi Satou
January 17, 2025
Technology
420
0

図で理解するAWS Network Firewallのアーキテクチャ

Avatar for Atsushi Satou

Atsushi Satou

January 17, 2025

More Decks by Atsushi Satou

See All by Atsushi Satou
AWS ECSでサービス間通信についておさらい
Avatar for Atsushi Satou atsuw0
1
130
CLIで構築した方が良いもの一覧.pdf
Avatar for Atsushi Satou atsuw0
0
180
HCP Terraformを使ったら AWSやGCPの環境構築が捗った話
Avatar for Atsushi Satou atsuw0
0
260
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
28
HCP Terraform について
Avatar for Atsushi Satou atsuw0
0
1.8k
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
37
AWS サーバレス設計 Tips集
Avatar for Atsushi Satou atsuw0
0
120
AWS re:Invent 2023 ストレージ EFSレプリケーションのフェイルバック機能を試してみた
Avatar for Atsushi Satou atsuw0
0
420
AWS re:Invent 2023 個人的に興味深いもの集
Avatar for Atsushi Satou atsuw0
0
120

Other Decks in Technology

See All in Technology
個人最適から組織最適へ — 仕組みで進めるAI推進
Avatar for ふくだ(fukuda ryu) rfdnxbro
0
110
コーポレートサイトのアクセシビリティ改善とJIS準拠への実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
2
120
ANDPAD Ruby sponsor session in RubyKaigi 2026
Avatar for ANDPAD inc andpad
0
130
「使われるデータ基盤」を目指してデータアナリストとワークショップをやった話
Avatar for jackojacko_ jackojacko_
2
730
TSKaigi 2026 - 型プラグインシステムの実装に使われるテクニック
Avatar for teamLab teamlab
PRO
1
230
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
Avatar for kazuho kazuho
3
570
Copilot CLI・IDE・Web・スマホで途切れない開発フローを目指して / One Copilot flow - CLI IDE Web Mobile
Avatar for AEON aeonpeople
1
550
ルール・ロール・ツールを創る / Creating Rules, Roles and Tools
Avatar for Kenji Saito ks91
PRO
0
150
開発にAIを組織として取り入れる一歩目とその後
Avatar for 渋谷悠司 yujishibuya
0
190
[みん強]AIの価値を最大化するデータ基盤戦略:Self-Service型Data Meshへの転換とAgentic AI Meshに向けた取り組み with Snowflake他
Avatar for Matsubara y_matsubara
1
180
コーディングエージェントはTypeScriptの 型エラーをどう自己修正しているのか
Avatar for Melonps melonps
3
360
障害対応のRunbookは作った、でも本当に動くの? AWS FIS で EKS の AZ 障害を再現してみた
Avatar for Hiroki Takatsuka tk3fftk
0
130

Featured

See All Featured
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.5k
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
290
Information Architects: The Missing Link in Design Systems
Avatar for Michelle Chin soysaucechin
0
930
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
150
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
5.3k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
900
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.7k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
28
3.5k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.7k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
190
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
120

Transcript

  1. 図で理解するAWS Network Firewallのアーキテクチャ 佐藤 淳 【増枠】渋谷でビール片手に LT会! ※初心者大歓迎 https://metaps.connpass.com/event/338514/

  2. 自己紹介 名前: 佐藤 淳 ( Atsushi Sato ) 会社: アイレット株式会社

    (今日は個人的な参加) 職業: インフラエンジニア(AWS、GCP) 趣味: キャンプ、登山、旅行 Qiita: https://qiita.com/atw0_0w

  3. 今回の発表の目的 https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/ ・Network Firewall の構成についてググってみると検索上位の記事でこんな記述が ... 「AWS Network Firewallのデプロイモデル」 2021/7/29

    寄稿 Network Firewallは、VPC Peeringにより接続されたVPC間や、Virtual Private Gateway(VGW)を使用してVPCに直接接続されたオンプレミス ネットワークのトラフィックを検査することはできません。

  4. 今回の発表の目的 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway-ingress-rout ing-support-for-gateway-load-balancer/ ・ただし、以下のアップデートによって、 VGWに対してIngress Route TableでNetworkFirewall Endpointへのルーティングを定義することで、 NFWへのトラフィックの検査が可能になった。 「Announcing

    Amazon Virtual Private Gateway Ingress Routing support for Gateway Load Balancer」 2023/8/30 寄稿 このシナリオでは、トラフィックフローにネットワークファイアウォール (GWLB を使用) を挿入しています。新しいネットワークファイアウォール が作成されると、そのサブネットに GWLB エンドポイントが作成され、 ルーティングテーブルにターゲットとして vpce-id が表示されます。

  5. ・AWSのアップデートは随時行われているため、最新の構成について把握する ・Network Firewallの設定方法についてざっくりと理解する 今回の発表の目的

  6. Firewallとは?

  7. ・WAFとの違いは? そもそもFirewallとは? WAF (Web Application Firewall) Firewall OSI参照モデル アプリケーション層(Layer 7)

    ネットワーク層(Layer 3) 目的 WebアプリケーションやAPIへの脆弱 性を狙った攻撃から保護 ネットワークへの不正アクセ スを防ぐ 検出・ブロックできる 攻撃 SQLインジェクション、XSS、CSRF、 DoS攻撃、DDoS攻撃 等 ポートスキャン、DoS攻撃、 DDoS攻撃、パケットスニッ フィング ユースケース Webアプリケーション、APIのフロント 部分(ロードバランサ) 異なるネットワーク間での通 信 AWSサービス AWS WAF AWS Network Firewall

  8. AWS Network Firewallの設計 を図で理解する。

  9. アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.

  10. ルートテーブル設計一覧

  11. ルールグループの設定例 ① ・ルール変数にて、許可/拒否するIPアドレスやポートを定義 名前 タイプ 値 IP_SET_DMZ IP set 10.0.11.0/24

    10.0.12.0/24 IP_SET_ONPRE IP set 192.168.0.0/16 IP_SET_WEBAPP IP set 10.0.21.0/24 10.0.22.0/24 PORT_ALLOW_HTTPS Ports 80 443 PORT_ALLOW_SSH Ports 22

  12. ルールグループの設定例 ② ・今回はステートフルルールについてご紹介。 (ステートレスもある) ・ステートフルなので上から優先的にルール適用される 上に許可のルールを一通り記述し、最後に拒否のルールを記述。 ・TCPなので上り/下りのルールを追加

  13. まとめ NFWなど普段あまり触れないサービスだからこそ、いざ使用する際ドキュメント不足などで適切 な要件定義ができないといったこともある。 定期的にキャッチアップして、日本語のドキュメントが不足していたらアウトプットとして発信する ことが大事。

  14. ご清聴ありがとうございました