Upgrade to Pro — share decks privately, control downloads, hide ads and more …

図で理解するAWS Network Firewallのアーキテクチャ

Avatar for Atsushi Satou Atsushi Satou
January 17, 2025
Technology
0
140

図で理解するAWS Network Firewallのアーキテクチャ

Avatar for Atsushi Satou

Atsushi Satou

January 17, 2025
Tweet

More Decks by Atsushi Satou

See All by Atsushi Satou
AWS ECSでサービス間通信についておさらい
Avatar for Atsushi Satou atsuw0
1
77
CLIで構築した方が良いもの一覧.pdf
Avatar for Atsushi Satou atsuw0
0
140
HCP Terraformを使ったら AWSやGCPの環境構築が捗った話
Avatar for Atsushi Satou atsuw0
0
150
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
19
HCP Terraform について
Avatar for Atsushi Satou atsuw0
0
1.7k
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
26
AWS サーバレス設計 Tips集
Avatar for Atsushi Satou atsuw0
0
110
AWS re:Invent 2023 ストレージ EFSレプリケーションのフェイルバック機能を試してみた
Avatar for Atsushi Satou atsuw0
0
370
AWS re:Invent 2023 個人的に興味深いもの集
Avatar for Atsushi Satou atsuw0
0
110

Other Decks in Technology

See All in Technology
ソフトウェア エンジニアとしての 姿勢と心構え
Avatar for Recruit recruitengineers
PRO
4
760
TypeScript入門
Avatar for Recruit recruitengineers
PRO
19
6.2k
VPC Latticeのサービスエンドポイント機能を使用した複数VPCアクセス
Avatar for k-kun duelist2020jp
0
240
Oracle Base Database Service:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
2
20k
Browser
Avatar for Recruit recruitengineers
PRO
4
330
サービスロボット最前線:ugoが挑むPhysical AI活用
Avatar for Ken Matsui kmatsuiugo
0
190
Goss: Faiss向けの新しい本番環境対応 Goバインディング #coefl_go_jp
Avatar for 弁護士ドットコム bengo4com
0
1.4k
ドキュメントはAIの味方!スタートアップのアジャイルを加速するADR
Avatar for かわうそ kawauso
3
380
イオン店舗一覧ページのパフォーマンスチューニング事例 / Performance tuning example for AEON store list page
Avatar for AEON aeonpeople
2
290
広島銀行におけるAWS活用の取り組みについて
Avatar for Masaki Mori[JAWS-UG広島] masakimori
0
140
JOAI発表資料 @ 関東kaggler会
Avatar for 日本人工知能オリンピック joai_committee
1
330
攻撃と防御で実践するプロダクトセキュリティ演習~導入パート~
Avatar for Recruit recruitengineers
PRO
2
200

Featured

See All Featured
Faster Mobile Websites
Avatar for Dean Hume deanohume
309
31k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.7k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
30
9.6k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
33
8.8k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
271
21k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.6k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.8k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k

Transcript

  1. 図で理解するAWS Network Firewallのアーキテクチャ 佐藤 淳 【増枠】渋谷でビール片手に LT会! ※初心者大歓迎 https://metaps.connpass.com/event/338514/

  2. 自己紹介 名前: 佐藤 淳 ( Atsushi Sato ) 会社: アイレット株式会社

    (今日は個人的な参加) 職業: インフラエンジニア(AWS、GCP) 趣味: キャンプ、登山、旅行 Qiita: https://qiita.com/atw0_0w

  3. 今回の発表の目的 https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/ ・Network Firewall の構成についてググってみると検索上位の記事でこんな記述が ... 「AWS Network Firewallのデプロイモデル」 2021/7/29

    寄稿 Network Firewallは、VPC Peeringにより接続されたVPC間や、Virtual Private Gateway(VGW)を使用してVPCに直接接続されたオンプレミス ネットワークのトラフィックを検査することはできません。

  4. 今回の発表の目的 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway-ingress-rout ing-support-for-gateway-load-balancer/ ・ただし、以下のアップデートによって、 VGWに対してIngress Route TableでNetworkFirewall Endpointへのルーティングを定義することで、 NFWへのトラフィックの検査が可能になった。 「Announcing

    Amazon Virtual Private Gateway Ingress Routing support for Gateway Load Balancer」 2023/8/30 寄稿 このシナリオでは、トラフィックフローにネットワークファイアウォール (GWLB を使用) を挿入しています。新しいネットワークファイアウォール が作成されると、そのサブネットに GWLB エンドポイントが作成され、 ルーティングテーブルにターゲットとして vpce-id が表示されます。

  5. ・AWSのアップデートは随時行われているため、最新の構成について把握する ・Network Firewallの設定方法についてざっくりと理解する 今回の発表の目的

  6. Firewallとは?

  7. ・WAFとの違いは? そもそもFirewallとは? WAF (Web Application Firewall) Firewall OSI参照モデル アプリケーション層(Layer 7)

    ネットワーク層(Layer 3) 目的 WebアプリケーションやAPIへの脆弱 性を狙った攻撃から保護 ネットワークへの不正アクセ スを防ぐ 検出・ブロックできる 攻撃 SQLインジェクション、XSS、CSRF、 DoS攻撃、DDoS攻撃 等 ポートスキャン、DoS攻撃、 DDoS攻撃、パケットスニッ フィング ユースケース Webアプリケーション、APIのフロント 部分(ロードバランサ) 異なるネットワーク間での通 信 AWSサービス AWS WAF AWS Network Firewall

  8. AWS Network Firewallの設計 を図で理解する。

  9. アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.

  10. ルートテーブル設計一覧

  11. ルールグループの設定例 ① ・ルール変数にて、許可/拒否するIPアドレスやポートを定義 名前 タイプ 値 IP_SET_DMZ IP set 10.0.11.0/24

    10.0.12.0/24 IP_SET_ONPRE IP set 192.168.0.0/16 IP_SET_WEBAPP IP set 10.0.21.0/24 10.0.22.0/24 PORT_ALLOW_HTTPS Ports 80 443 PORT_ALLOW_SSH Ports 22

  12. ルールグループの設定例 ② ・今回はステートフルルールについてご紹介。 (ステートレスもある) ・ステートフルなので上から優先的にルール適用される 上に許可のルールを一通り記述し、最後に拒否のルールを記述。 ・TCPなので上り/下りのルールを追加

  13. まとめ NFWなど普段あまり触れないサービスだからこそ、いざ使用する際ドキュメント不足などで適切 な要件定義ができないといったこともある。 定期的にキャッチアップして、日本語のドキュメントが不足していたらアウトプットとして発信する ことが大事。

  14. ご清聴ありがとうございました