Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Network Firewall Proxyを触ってみた
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
nagisa_53
February 06, 2026
Technology
460
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Network Firewall Proxyを触ってみた
JAWS-UG 栃木 オフライン # 6 -1周年感謝祭-
nagisa_53
February 06, 2026
More Decks by nagisa_53
See All by nagisa_53
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
320
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
300
Rodeoで感じたアーキテクチャ図は言語の壁を越える!?
nagisa53
1
84
re:Invent 2025で発表されたNW系のアップデートについて?
nagisa53
1
85
ラスベガス到着~12/2までに現地で学んだこと
nagisa53
0
30
ALBのURL / Host Header rewriteを試してみた
nagisa53
0
470
re:Inventに向けてウォームアップしよう!
nagisa53
1
280
re:Inventに行くまでにやっておきたいこと
nagisa53
0
2.6k
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
nagisa53
11
4.9k
Other Decks in Technology
See All in Technology
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
0
570
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2.1k
知見・人・API・DB・予算 ─ ナイナイ尽くしだった人事データ整備 with dbt、5年間の学び
ken6377
1
150
そのハーネス、本当に境界になっていますか? AIエージェント時代の実行環境設計【MEGU-Meet #4】
cscengineer
PRO
0
110
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
410
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
520
Why is RC4 still being used?
tamaiyutaro
0
290
AWS Summit Japan 2026の振り返りと2027へ向けて / AWS Summit Japan 2026 Recap and Prospects for 2027
kaminashi
1
190
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
380
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
310
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
950
背中から、背中へ /paying forward to community
naitosatoshi
0
220
Featured
See All Featured
Imperfection Machines: The Place of Print at Facebook
scottboms
270
14k
Heart Work Chapter 1 - Part 1
lfama
PRO
8
36k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
440
Into the Great Unknown - MozCon
thekraken
41
2.6k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
55k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
880
Utilizing Notion as your number one productivity tool
mfonobong
4
340
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
750
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
660
The Pragmatic Product Professional
lauravandoore
37
7.4k
Agile that works and the tools we love
rasmusluckow
331
22k
Transcript
+"846(ಢΦϑϥΠϯपײँࡇ "84/FUXPSL'JSFXBMM1SPYZ Λ৮ͬͯΈͨ ޒຯͳ͗͞ʢ9ɿ!OBHJTB@ʣɹ
ࣗݾհ w ໊લɿޒຯͳ͗͞ w ࣄɿ4*FSΠϯϑϥ෦Ϋϥυؔ࿈άϧʔϓϚωʔδϟʔ w झຯɿΩοΫϘΫγϯά ɺεΩϡʔόμΠϏϯά w ͖ͳ"84αʔϏεɿ/8ܥαʔϏεશൠ
"84$PNNVOJUZ#VJMEFSTʢ/FUXPSLJOHBOE$POUFOU%FMJWFSZʣ "84"NCBTTBEPSTʢʣ "84+BQBO5PQ&OHJOFFSTʢʣ +BQBO"MM"84$FSUJGJDBUJPOT&OHJOFFSTʢʣ +"846(Ϋϥυঁࢠձ࠼ͷࠃ࡛ۄࢧ෦ӡӦ +"84%":4࣮ߦҕһʢӶҙ४උதʂʣ
"84/FUXPSL'JSFXBMM1SPYZ 1SFWJFX w "84Ϛωʔδυͳ'PSXBSE1SPYZ w ʹ1SFWJFX൛ͱͯ͠ొ w ͜Ε·ͰϚωʔδυͳ'PSXBSE1SPYZ͕ͳ͘ɺ '2%/Ͱͷ੍ޚΛݫີʹߦ͍͍ͨ߹ɺ 4RVJEͷQSPYZαʔόΛϢʔβʔଆͰཱͯΔඞཁ͕͋ͬͨɻ
ˠɹ͍ͭʹ"84ϚωʔδυͰར༻Ͱ͖Δ1SPYZ͕ʂ
ैདྷͷ"/'ʹ͓͚ΔѼઌ੍ޚͷ՝ ANF ಁաతɻ HTTPS௨৴ͷ߹ɺ ʢTLS InterceptionΛར༻͍ͯ͠ͳ͍ݶΓʣ ௨৴ͷதݟΕͳ͍ͨΊ SSL/TLSϋϯυγΣΠΫͷClient Helloʹؚ·ΕΔ SNIͷΛݩʹ੍ޚɻ
※HTTPͷ߹Host Headerͷ SNIͷ࣮ࡍͷѼઌFQDNͱҟͳΔʹِՄೳ ڐՄ͍ͯ͠Δϗετ໊ΛSNIʹೖΕͯ͠·͑௨৴Ͱ͖ͯ͠·͏ ΫϥΠΞϯτͱͯ͠ Ѽઌʹͦͷ··ଓ Ѽઌɿ https://example.com
ैདྷͷ"/'ʹ͓͚ΔѼઌ੍ޚͷ՝ Proxy Ѽઌͷ௨৴ΛProxyαʔό͕தܧ͢ΔܗʹͳΔɻ HTTPS௨৴ͷதݟΕͳ͍͕ɺΫϥΠΞϯτ HTTP CONNECTϝιουͰProxyαʔόʹଓͨ͠ͷͪ ʹProxyαʔόʹͯѼઌͷ໊લղܾΛߦ͏ͨΊɺ ࣮ࡍͷѼઌͱͳΔFQDNΛݩʹ੍ͨ͠ޚ͕Մೳ ProxyΛ໌ࣔతʹࢦఆ Ѽઌɿ
https://example.com
/FUXPSL'JSFXBMM1SPYZͷߏ Ҿ༻ݩɿhttps://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/ NAT GatewayͱηοτͰར༻ Proxy Endpoint͕࡞ΒΕɺ ΫϥΠΞϯτଆProxy EndpointΛ ϓϩΩγαʔόͱͯ͠ࢦఆ ैདྷͷNetwork
Firewallͷ Endpointෆཁ
࣮ࡍʹͬͯΈͨ w ҎԼͭΛॱʹઃఆ w ϓϩΩγάϧʔϓ w ϓϩΩγઃఆ w ϓϩΩγʢຊମʣ
ϓϩΩγάϧʔϓ w ϧʔϧͷϑΣʔζͱ݅ɺΞΫγϣϯʢڐՄڋ൱ʣΛઃఆ w ϑΣʔζ w QSF%/4 w υϝΠϯ໊ղܾલʹධՁ͞ΕΔ w
1SF3FRVFTU w %/4ղܾޙɺ)551TϦΫΤετΛૹ৴͢ΔલʹධՁ͞ΕΔ w 1PTU3FTQPOTF w )551TϨεϙϯεΛड৴ͨ͠ޙʹධՁ͞ΕΔ ˞1SF3FRVFTUͱ1PTU3FTQPOTFཁ5-4*OUFSDFQUJPO
ิ 5-4*OUFSDFQUJPO ΫϥΠΞϯτͱProxyؒͰTLS SessionΛཱ֬͠ɺҰProxy্Ͱ҉߸ԽΛղ͍ͯ தΛ֬ೝͷ্ɺProxyͱຊདྷͷѼઌؒͰTLS SessionΛཱ֬͢Δɻ ͜ͷ߹ɺΫϥΠΞϯτͱͷTLS Sessionͷཱ֬ͷͨΊʹඞཁͳূ໌ॻͷProxy ͷηοτɺΫϥΠΞϯτଆʹ֘ͷূ໌ॻͷϧʔτূ໌ॻΛImport͢Δ ͳͲͷରԠ͕ඞཁɻ
Ҿ༻ݩɿhttps://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/
ϓϩΩγάϧʔϓ w ݅ ϑΣʔζʹΑͬͯ ͑Δ݅ҟͳΔ
ϓϩΩγάϧʔϓ ࠓճQSF%/4ϑΣʔζͰಛఆ'2%/ΛڐՄ͢ΔϓϩΩγάϧʔϓΛ࡞
ϓϩΩγઃఆ w σϑΥϧτͷΞΫγϣϯͱඥ͚Δϧʔϧάϧʔϓͷઃఆ PreRequest/PostResponseͷσϑΥϧτΞΫγϣϯΛʮڋ൱ʯʹ͍ͯ͠ΔͱHTTPϦΫΤετ/Ϩεϙϯεͷத ΛݟΑ͏ͱ͢Δಈ࡞ʹͳΔͷ͔ɺʮTLS interceptionʯΛར༻͠ͳ͍ঢ়ଶͰɺ͜ͷޙߦͬͨಈ࡞֬ೝͷ ࡍʹTLS Connection Error͕ൃੜͨ͠ͷͰཁҙɻ PreDNSͷϧʔϧ͔͠Θͳ͍߹ɺPreDNSͷΈʮڋ൱ʯͱ͍ͯ͠Εظ͢Δ੍ޚ͕Մೳɻ
ࠓճϓϩΩγάϧʔϓ ͰڐՄͨ͠FQDNҎ֎ڋ ൱͍ͨ͠ͷͰɺσϑΥϧ τΛʮڋ൱ʯͰઃఆɻ ͕ɺҎԼ՝ɻ
ϓϩΩγʢຊମʣ w ඥ͚Δ/"5(BUFXBZ5-4JOUFSDFQUJPOɺ ϙʔτ൪߸ͳͲͷઃఆΛߦ͏ ݱ࣌Ͱ Resional NAT Gateway ࢦఆෆՄ
ૄ௨֬ೝ w ڐՄͨ͠'2%/ˠૄ௨0, w ૄ௨0,ڐՄ͍ͯ͠ͳ͍Ѽઌ1SPYZܦ༝Ͱ$VSM ˠ$0//&$5ʹର͠1SPYZ͔Β͕ฦ͓ͬͯΓૄ௨/(
ऴΘΓʹ w ࣮ࡍʹͬͯΈ͕ͨҰൠతͳ1SPYZ༻్ͱͯ͠ඞཁͳػೳΛඋ͍͑ͯͦ͏ w ৄ͘͠ҎԼΛݟ͍ͯͩ͘͞ "84ͷ&HSFTT௨৴पΓͷΞοϓσʔτʹ৮ΕͯΈͨ3FHJPOBM/"5(BUFXBZ /FUXPSL'JSFXBMM1SPYZ w Ұൠఏڙ։࢝ͨ͠ޙͷ͓ஈؾʹͳΔͱ͜Ζɻɻɻ
ˠैདྷͷ/FUXPSL'JSFXBMMͷ&OEQPJOUΛར༻͢ΔܗͰͳ͍ͷͰ ผྉۚମܥʹͳΔͷͰͱظ ૣ͘དྷͯ΄͍͠
None