Upgrade to Pro — share decks privately, control downloads, hide ads and more …

図で理解するAWS Network Firewallのアーキテクチャ

Avatar for Atsushi Satou Atsushi Satou
January 17, 2025
Technology
0
360

図で理解するAWS Network Firewallのアーキテクチャ

Avatar for Atsushi Satou

Atsushi Satou

January 17, 2025
Tweet

More Decks by Atsushi Satou

See All by Atsushi Satou
AWS ECSでサービス間通信についておさらい
Avatar for Atsushi Satou atsuw0
1
110
CLIで構築した方が良いもの一覧.pdf
Avatar for Atsushi Satou atsuw0
0
160
HCP Terraformを使ったら AWSやGCPの環境構築が捗った話
Avatar for Atsushi Satou atsuw0
0
230
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
26
HCP Terraform について
Avatar for Atsushi Satou atsuw0
0
1.8k
HashicorpCloudについて.pdf
Avatar for Atsushi Satou atsuw0
0
32
AWS サーバレス設計 Tips集
Avatar for Atsushi Satou atsuw0
0
120
AWS re:Invent 2023 ストレージ EFSレプリケーションのフェイルバック機能を試してみた
Avatar for Atsushi Satou atsuw0
0
400
AWS re:Invent 2023 個人的に興味深いもの集
Avatar for Atsushi Satou atsuw0
0
120

Other Decks in Technology

See All in Technology
データマネジメント戦略Night - 4社のリアルを語る会
Avatar for Tatsuya Koreeda ktatsuya
1
420
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
5
18k
俺の/私の最強アーキテクチャ決定戦開催 ― チームで新しいアーキテクチャに適合していくために / 20260322 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
460
スケーリングを封じられたEC2を救いたい
Avatar for いのうえ senseofunity129
0
110
BFCacheを活用して無限スクロールのUX を改善した話
Avatar for Ryuya Yanagi apple_yagi
0
130
ADK + Gemini Enterprise で 外部 API 連携エージェント作るなら OAuth の仕組みを理解しておこう
Avatar for Kaz kaz1437
0
220
イベントで大活躍する電子ペーパー名札を作る(その2) 〜 M5PaperとM5PaperS3 〜 / IoTLT @ JLCPCB オープンハードカンファレンス
Avatar for you(@youtoy) you
PRO
0
210
AI時代のオンプレ-クラウドキャリアチェンジ考
Avatar for Yutaro Shirayama yuu0w0yuu
0
480
VSCode中心だった自分がターミナル沼に入門した話
Avatar for Genki Sano sanogemaru
0
790
【AWS】CloudTrail LakeとCloudWatch Logs Insightsの使い分け方針
Avatar for Yuma Tsurugasaki tsurunosd
0
120
Phase01_AI座学_基礎
Avatar for overflow ,Inc overflowinc
0
4.4k
契約書からの情報抽出を行うLLMのスループットを、バッチ処理を用いて最大40%改善した話
Avatar for SansanTech sansantech
PRO
3
300

Featured

See All Featured
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
183
10k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.4k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
160
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.5k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
420
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
110k
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.2k

Transcript

  1. 図で理解するAWS Network Firewallのアーキテクチャ 佐藤 淳 【増枠】渋谷でビール片手に LT会! ※初心者大歓迎 https://metaps.connpass.com/event/338514/

  2. 自己紹介 名前: 佐藤 淳 ( Atsushi Sato ) 会社: アイレット株式会社

    (今日は個人的な参加) 職業: インフラエンジニア(AWS、GCP) 趣味: キャンプ、登山、旅行 Qiita: https://qiita.com/atw0_0w

  3. 今回の発表の目的 https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/ ・Network Firewall の構成についてググってみると検索上位の記事でこんな記述が ... 「AWS Network Firewallのデプロイモデル」 2021/7/29

    寄稿 Network Firewallは、VPC Peeringにより接続されたVPC間や、Virtual Private Gateway(VGW)を使用してVPCに直接接続されたオンプレミス ネットワークのトラフィックを検査することはできません。

  4. 今回の発表の目的 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway-ingress-rout ing-support-for-gateway-load-balancer/ ・ただし、以下のアップデートによって、 VGWに対してIngress Route TableでNetworkFirewall Endpointへのルーティングを定義することで、 NFWへのトラフィックの検査が可能になった。 「Announcing

    Amazon Virtual Private Gateway Ingress Routing support for Gateway Load Balancer」 2023/8/30 寄稿 このシナリオでは、トラフィックフローにネットワークファイアウォール (GWLB を使用) を挿入しています。新しいネットワークファイアウォール が作成されると、そのサブネットに GWLB エンドポイントが作成され、 ルーティングテーブルにターゲットとして vpce-id が表示されます。

  5. ・AWSのアップデートは随時行われているため、最新の構成について把握する ・Network Firewallの設定方法についてざっくりと理解する 今回の発表の目的

  6. Firewallとは?

  7. ・WAFとの違いは? そもそもFirewallとは? WAF (Web Application Firewall) Firewall OSI参照モデル アプリケーション層(Layer 7)

    ネットワーク層(Layer 3) 目的 WebアプリケーションやAPIへの脆弱 性を狙った攻撃から保護 ネットワークへの不正アクセ スを防ぐ 検出・ブロックできる 攻撃 SQLインジェクション、XSS、CSRF、 DoS攻撃、DDoS攻撃 等 ポートスキャン、DoS攻撃、 DDoS攻撃、パケットスニッ フィング ユースケース Webアプリケーション、APIのフロント 部分(ロードバランサ) 異なるネットワーク間での通 信 AWSサービス AWS WAF AWS Network Firewall

  8. AWS Network Firewallの設計 を図で理解する。

  9. アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.

  10. ルートテーブル設計一覧

  11. ルールグループの設定例 ① ・ルール変数にて、許可/拒否するIPアドレスやポートを定義 名前 タイプ 値 IP_SET_DMZ IP set 10.0.11.0/24

    10.0.12.0/24 IP_SET_ONPRE IP set 192.168.0.0/16 IP_SET_WEBAPP IP set 10.0.21.0/24 10.0.22.0/24 PORT_ALLOW_HTTPS Ports 80 443 PORT_ALLOW_SSH Ports 22

  12. ルールグループの設定例 ② ・今回はステートフルルールについてご紹介。 (ステートレスもある) ・ステートフルなので上から優先的にルール適用される 上に許可のルールを一通り記述し、最後に拒否のルールを記述。 ・TCPなので上り/下りのルールを追加

  13. まとめ NFWなど普段あまり触れないサービスだからこそ、いざ使用する際ドキュメント不足などで適切 な要件定義ができないといったこともある。 定期的にキャッチアップして、日本語のドキュメントが不足していたらアウトプットとして発信する ことが大事。

  14. ご清聴ありがとうございました