Upgrade to Pro — share decks privately, control downloads, hide ads and more …

図で理解するAWS Network Firewallのアーキテクチャ

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Atsushi Satou Atsushi Satou
January 17, 2025
Technology
0
320

図で理解するAWS Network Firewallのアーキテクチャ

Avatar for Atsushi Satou

Atsushi Satou

January 17, 2025
Tweet

More Decks by Atsushi Satou

See All by Atsushi Satou
AWS ECSでサービス間通信についておさらい
Avatar for Atsushi Satou atsuw0
1
110
CLIで構築した方が良いもの一覧.pdf
Avatar for Atsushi Satou atsuw0
0
150
HCP Terraformを使ったら AWSやGCPの環境構築が捗った話
Avatar for Atsushi Satou atsuw0
0
210
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
23
HCP Terraform について
Avatar for Atsushi Satou atsuw0
0
1.8k
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
31
AWS サーバレス設計 Tips集
Avatar for Atsushi Satou atsuw0
0
110
AWS re:Invent 2023 ストレージ EFSレプリケーションのフェイルバック機能を試してみた
Avatar for Atsushi Satou atsuw0
0
400
AWS re:Invent 2023 個人的に興味深いもの集
Avatar for Atsushi Satou atsuw0
0
120

Other Decks in Technology

See All in Technology
Application Performance Optimisation in Practice (60 mins)
Avatar for Steve Gordon stevejgordon
0
110
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
Avatar for coconala_engineer coconala_engineer
2
520
月間数億レコードのアクセスログ基盤を無停止・低コストでAWS移行せよ!アプリケーションエンジニアのSREチャレンジ💪
Avatar for miyamu miyamu
0
710
Kubecon NA 2025: DRA 関連の Recap と社内 GPU 基盤での課題
Avatar for Yohei Kevin Namba kevin_namba
0
120
GCASアップデート(202510-202601)
Avatar for 高橋広和 techniczna
0
240
開発メンバーが語るFindy Conferenceの裏側とこれから
Avatar for sontixyou sontixyou
2
520
無ければ作る! バイブコーディングで作ったものを一気に紹介 
Avatar for tatsuya1970 tatsuya1970
0
110
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.8k
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
73k
プロダクト成長を支える開発基盤とスケールに伴う課題
Avatar for yuu26 yuu26
2
820
変化するコーディングエージェントとの現実的な付き合い方 〜Cursor安定択説と、ツールに依存しない「資産」〜
Avatar for empitsu empitsu
4
1.2k
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
210

Featured

See All Featured
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
52
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
1.9k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
210
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
240
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
800
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
48
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
32k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.4k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
320
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
9.9k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
66
36k

Transcript

  1. 図で理解するAWS Network Firewallのアーキテクチャ 佐藤 淳 【増枠】渋谷でビール片手に LT会! ※初心者大歓迎 https://metaps.connpass.com/event/338514/

  2. 自己紹介 名前: 佐藤 淳 ( Atsushi Sato ) 会社: アイレット株式会社

    (今日は個人的な参加) 職業: インフラエンジニア(AWS、GCP) 趣味: キャンプ、登山、旅行 Qiita: https://qiita.com/atw0_0w

  3. 今回の発表の目的 https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/ ・Network Firewall の構成についてググってみると検索上位の記事でこんな記述が ... 「AWS Network Firewallのデプロイモデル」 2021/7/29

    寄稿 Network Firewallは、VPC Peeringにより接続されたVPC間や、Virtual Private Gateway(VGW)を使用してVPCに直接接続されたオンプレミス ネットワークのトラフィックを検査することはできません。

  4. 今回の発表の目的 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway-ingress-rout ing-support-for-gateway-load-balancer/ ・ただし、以下のアップデートによって、 VGWに対してIngress Route TableでNetworkFirewall Endpointへのルーティングを定義することで、 NFWへのトラフィックの検査が可能になった。 「Announcing

    Amazon Virtual Private Gateway Ingress Routing support for Gateway Load Balancer」 2023/8/30 寄稿 このシナリオでは、トラフィックフローにネットワークファイアウォール (GWLB を使用) を挿入しています。新しいネットワークファイアウォール が作成されると、そのサブネットに GWLB エンドポイントが作成され、 ルーティングテーブルにターゲットとして vpce-id が表示されます。

  5. ・AWSのアップデートは随時行われているため、最新の構成について把握する ・Network Firewallの設定方法についてざっくりと理解する 今回の発表の目的

  6. Firewallとは?

  7. ・WAFとの違いは? そもそもFirewallとは? WAF (Web Application Firewall) Firewall OSI参照モデル アプリケーション層(Layer 7)

    ネットワーク層(Layer 3) 目的 WebアプリケーションやAPIへの脆弱 性を狙った攻撃から保護 ネットワークへの不正アクセ スを防ぐ 検出・ブロックできる 攻撃 SQLインジェクション、XSS、CSRF、 DoS攻撃、DDoS攻撃 等 ポートスキャン、DoS攻撃、 DDoS攻撃、パケットスニッ フィング ユースケース Webアプリケーション、APIのフロント 部分(ロードバランサ) 異なるネットワーク間での通 信 AWSサービス AWS WAF AWS Network Firewall

  8. AWS Network Firewallの設計 を図で理解する。

  9. アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.

  10. ルートテーブル設計一覧

  11. ルールグループの設定例 ① ・ルール変数にて、許可/拒否するIPアドレスやポートを定義 名前 タイプ 値 IP_SET_DMZ IP set 10.0.11.0/24

    10.0.12.0/24 IP_SET_ONPRE IP set 192.168.0.0/16 IP_SET_WEBAPP IP set 10.0.21.0/24 10.0.22.0/24 PORT_ALLOW_HTTPS Ports 80 443 PORT_ALLOW_SSH Ports 22

  12. ルールグループの設定例 ② ・今回はステートフルルールについてご紹介。 (ステートレスもある) ・ステートフルなので上から優先的にルール適用される 上に許可のルールを一通り記述し、最後に拒否のルールを記述。 ・TCPなので上り/下りのルールを追加

  13. まとめ NFWなど普段あまり触れないサービスだからこそ、いざ使用する際ドキュメント不足などで適切 な要件定義ができないといったこともある。 定期的にキャッチアップして、日本語のドキュメントが不足していたらアウトプットとして発信する ことが大事。

  14. ご清聴ありがとうございました