Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Network Firewall Proxyを触ってみた
Search
nagisa_53
February 06, 2026
Technology
460
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Network Firewall Proxyを触ってみた
JAWS-UG 栃木 オフライン # 6 -1周年感謝祭-
nagisa_53
February 06, 2026
More Decks by nagisa_53
See All by nagisa_53
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
320
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
300
Rodeoで感じたアーキテクチャ図は言語の壁を越える!?
nagisa53
1
84
re:Invent 2025で発表されたNW系のアップデートについて?
nagisa53
1
85
ラスベガス到着~12/2までに現地で学んだこと
nagisa53
0
30
ALBのURL / Host Header rewriteを試してみた
nagisa53
0
470
re:Inventに向けてウォームアップしよう!
nagisa53
1
280
re:Inventに行くまでにやっておきたいこと
nagisa53
0
2.6k
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
nagisa53
11
4.9k
Other Decks in Technology
See All in Technology
デジタル・デザイン構想 by Sayaka Ishizuka
y150saya
0
190
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
1.2k
cccccc
moznion
0
1.7k
4人目のSREはAgent
tanimuyk
0
380
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
テスト設計の本質を改めて考えてみる~生成AIを活用する時代だからこそ、作ったテストの説明性を高めよう~
yamasaki696
1
290
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
460
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
8
760
Claude Codeとハーネスについて考えてみる
oikon48
17
8.2k
インフラ寄りSREでも 開発に踏み出せる〜境界を越えてユーザー体験に向き合いたい〜
sansantech
PRO
0
390
Baseline対応のDOMの型定義を作った
uhyo
3
680
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
530
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Mind Mapping
helmedeiros
PRO
1
280
Into the Great Unknown - MozCon
thekraken
41
2.6k
Optimising Largest Contentful Paint
csswizardry
37
3.8k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
1
370
Information Architects: The Missing Link in Design Systems
soysaucechin
0
1k
How to make the Groovebox
asonas
2
2.3k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
880
Practical Orchestrator
shlominoach
191
11k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
220
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
2k
Transcript
+"846(ಢΦϑϥΠϯपײँࡇ "84/FUXPSL'JSFXBMM1SPYZ Λ৮ͬͯΈͨ ޒຯͳ͗͞ʢ9ɿ!OBHJTB@ʣɹ
ࣗݾհ w ໊લɿޒຯͳ͗͞ w ࣄɿ4*FSΠϯϑϥ෦Ϋϥυؔ࿈άϧʔϓϚωʔδϟʔ w झຯɿΩοΫϘΫγϯά ɺεΩϡʔόμΠϏϯά w ͖ͳ"84αʔϏεɿ/8ܥαʔϏεશൠ
"84$PNNVOJUZ#VJMEFSTʢ/FUXPSLJOHBOE$POUFOU%FMJWFSZʣ "84"NCBTTBEPSTʢʣ "84+BQBO5PQ&OHJOFFSTʢʣ +BQBO"MM"84$FSUJGJDBUJPOT&OHJOFFSTʢʣ +"846(Ϋϥυঁࢠձ࠼ͷࠃ࡛ۄࢧ෦ӡӦ +"84%":4࣮ߦҕһʢӶҙ४උதʂʣ
"84/FUXPSL'JSFXBMM1SPYZ 1SFWJFX w "84Ϛωʔδυͳ'PSXBSE1SPYZ w ʹ1SFWJFX൛ͱͯ͠ొ w ͜Ε·ͰϚωʔδυͳ'PSXBSE1SPYZ͕ͳ͘ɺ '2%/Ͱͷ੍ޚΛݫີʹߦ͍͍ͨ߹ɺ 4RVJEͷQSPYZαʔόΛϢʔβʔଆͰཱͯΔඞཁ͕͋ͬͨɻ
ˠɹ͍ͭʹ"84ϚωʔδυͰར༻Ͱ͖Δ1SPYZ͕ʂ
ैདྷͷ"/'ʹ͓͚ΔѼઌ੍ޚͷ՝ ANF ಁաతɻ HTTPS௨৴ͷ߹ɺ ʢTLS InterceptionΛར༻͍ͯ͠ͳ͍ݶΓʣ ௨৴ͷதݟΕͳ͍ͨΊ SSL/TLSϋϯυγΣΠΫͷClient Helloʹؚ·ΕΔ SNIͷΛݩʹ੍ޚɻ
※HTTPͷ߹Host Headerͷ SNIͷ࣮ࡍͷѼઌFQDNͱҟͳΔʹِՄೳ ڐՄ͍ͯ͠Δϗετ໊ΛSNIʹೖΕͯ͠·͑௨৴Ͱ͖ͯ͠·͏ ΫϥΠΞϯτͱͯ͠ Ѽઌʹͦͷ··ଓ Ѽઌɿ https://example.com
ैདྷͷ"/'ʹ͓͚ΔѼઌ੍ޚͷ՝ Proxy Ѽઌͷ௨৴ΛProxyαʔό͕தܧ͢ΔܗʹͳΔɻ HTTPS௨৴ͷதݟΕͳ͍͕ɺΫϥΠΞϯτ HTTP CONNECTϝιουͰProxyαʔόʹଓͨ͠ͷͪ ʹProxyαʔόʹͯѼઌͷ໊લղܾΛߦ͏ͨΊɺ ࣮ࡍͷѼઌͱͳΔFQDNΛݩʹ੍ͨ͠ޚ͕Մೳ ProxyΛ໌ࣔతʹࢦఆ Ѽઌɿ
https://example.com
/FUXPSL'JSFXBMM1SPYZͷߏ Ҿ༻ݩɿhttps://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/ NAT GatewayͱηοτͰར༻ Proxy Endpoint͕࡞ΒΕɺ ΫϥΠΞϯτଆProxy EndpointΛ ϓϩΩγαʔόͱͯ͠ࢦఆ ैདྷͷNetwork
Firewallͷ Endpointෆཁ
࣮ࡍʹͬͯΈͨ w ҎԼͭΛॱʹઃఆ w ϓϩΩγάϧʔϓ w ϓϩΩγઃఆ w ϓϩΩγʢຊମʣ
ϓϩΩγάϧʔϓ w ϧʔϧͷϑΣʔζͱ݅ɺΞΫγϣϯʢڐՄڋ൱ʣΛઃఆ w ϑΣʔζ w QSF%/4 w υϝΠϯ໊ղܾલʹධՁ͞ΕΔ w
1SF3FRVFTU w %/4ղܾޙɺ)551TϦΫΤετΛૹ৴͢ΔલʹධՁ͞ΕΔ w 1PTU3FTQPOTF w )551TϨεϙϯεΛड৴ͨ͠ޙʹධՁ͞ΕΔ ˞1SF3FRVFTUͱ1PTU3FTQPOTFཁ5-4*OUFSDFQUJPO
ิ 5-4*OUFSDFQUJPO ΫϥΠΞϯτͱProxyؒͰTLS SessionΛཱ֬͠ɺҰProxy্Ͱ҉߸ԽΛղ͍ͯ தΛ֬ೝͷ্ɺProxyͱຊདྷͷѼઌؒͰTLS SessionΛཱ֬͢Δɻ ͜ͷ߹ɺΫϥΠΞϯτͱͷTLS Sessionͷཱ֬ͷͨΊʹඞཁͳূ໌ॻͷProxy ͷηοτɺΫϥΠΞϯτଆʹ֘ͷূ໌ॻͷϧʔτূ໌ॻΛImport͢Δ ͳͲͷରԠ͕ඞཁɻ
Ҿ༻ݩɿhttps://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/
ϓϩΩγάϧʔϓ w ݅ ϑΣʔζʹΑͬͯ ͑Δ݅ҟͳΔ
ϓϩΩγάϧʔϓ ࠓճQSF%/4ϑΣʔζͰಛఆ'2%/ΛڐՄ͢ΔϓϩΩγάϧʔϓΛ࡞
ϓϩΩγઃఆ w σϑΥϧτͷΞΫγϣϯͱඥ͚Δϧʔϧάϧʔϓͷઃఆ PreRequest/PostResponseͷσϑΥϧτΞΫγϣϯΛʮڋ൱ʯʹ͍ͯ͠ΔͱHTTPϦΫΤετ/Ϩεϙϯεͷத ΛݟΑ͏ͱ͢Δಈ࡞ʹͳΔͷ͔ɺʮTLS interceptionʯΛར༻͠ͳ͍ঢ়ଶͰɺ͜ͷޙߦͬͨಈ࡞֬ೝͷ ࡍʹTLS Connection Error͕ൃੜͨ͠ͷͰཁҙɻ PreDNSͷϧʔϧ͔͠Θͳ͍߹ɺPreDNSͷΈʮڋ൱ʯͱ͍ͯ͠Εظ͢Δ੍ޚ͕Մೳɻ
ࠓճϓϩΩγάϧʔϓ ͰڐՄͨ͠FQDNҎ֎ڋ ൱͍ͨ͠ͷͰɺσϑΥϧ τΛʮڋ൱ʯͰઃఆɻ ͕ɺҎԼ՝ɻ
ϓϩΩγʢຊମʣ w ඥ͚Δ/"5(BUFXBZ5-4JOUFSDFQUJPOɺ ϙʔτ൪߸ͳͲͷઃఆΛߦ͏ ݱ࣌Ͱ Resional NAT Gateway ࢦఆෆՄ
ૄ௨֬ೝ w ڐՄͨ͠'2%/ˠૄ௨0, w ૄ௨0,ڐՄ͍ͯ͠ͳ͍Ѽઌ1SPYZܦ༝Ͱ$VSM ˠ$0//&$5ʹର͠1SPYZ͔Β͕ฦ͓ͬͯΓૄ௨/(
ऴΘΓʹ w ࣮ࡍʹͬͯΈ͕ͨҰൠతͳ1SPYZ༻్ͱͯ͠ඞཁͳػೳΛඋ͍͑ͯͦ͏ w ৄ͘͠ҎԼΛݟ͍ͯͩ͘͞ "84ͷ&HSFTT௨৴पΓͷΞοϓσʔτʹ৮ΕͯΈͨ3FHJPOBM/"5(BUFXBZ /FUXPSL'JSFXBMM1SPYZ w Ұൠఏڙ։࢝ͨ͠ޙͷ͓ஈؾʹͳΔͱ͜Ζɻɻɻ
ˠैདྷͷ/FUXPSL'JSFXBMMͷ&OEQPJOUΛར༻͢ΔܗͰͳ͍ͷͰ ผྉۚମܥʹͳΔͷͰͱظ ૣ͘དྷͯ΄͍͠
None