Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Network Firewall Proxyで脱Squid運用⁈

Avatar for hr0hr57 hr0hr57
January 15, 2026
Technology
0
2

AWS Network Firewall Proxyで脱Squid運用⁈

Ops-JAWS#38で登壇した際の資料です。
https://opsjaws.connpass.com/event/378593/

2025/11/25に発表されたAWS Network Firewall Proxyの機能について簡単に説明しています。

Avatar for hr0hr57

hr0hr57

January 15, 2026
Tweet

More Decks by hr0hr57

See All by hr0hr57
WebアプリのObservabilityを実装しようonAWS
Avatar for hr0hr57 nnydtmg
0
20
リソースのテレメトリも管理したい!〜CloudWatch Telemetry管理のご紹介〜
Avatar for hr0hr57 nnydtmg
0
320
宇宙最速のランチRecap LT会(開発者ツール&運用監視編)
Avatar for hr0hr57 nnydtmg
2
470
AWS All Certが伝える 新AWS認定試験取得のコツ (Machine Learning Engineer - Associate)
Avatar for hr0hr57 nnydtmg
1
1.2k
AWS認定試験 DEA受験記
Avatar for hr0hr57 nnydtmg
1
710
インフラ担当者がLambdaの設定値を今一度整理してみた
Avatar for hr0hr57 nnydtmg
0
410
金融系・JTCエンジニアこそコミュニティに行け!
Avatar for hr0hr57 nnydtmg
0
250
Terraform v1.6.0で始めるインフラ単体テスト
Avatar for hr0hr57 nnydtmg
2
1.6k
AWSでTerraform超入門
Avatar for hr0hr57 nnydtmg
1
380

Other Decks in Technology

See All in Technology
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
2
830
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
11
390k
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
2
160
BidiAgent と Nova 2 Sonic から​考える音声 AI について
Avatar for Yuuki Yamashita yama3133
2
150
ECS_EKS以外の選択肢_ROSA入門_.pdf
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
130
AWS re:Invent2025最新動向まとめ(NRIグループre:Cap 2025)
Avatar for KoheiGamo gamogamo
0
170
2025年の医用画像AI/AI×medical_imaging_in_2025_generated_by_AI
Avatar for YoshihiroTodoroki tdys13
0
320
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
10k
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
330
技術選定、下から見るか?横から見るか?
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
0
190
AI時代のアジャイルチームを目指して ー スクラムというコンフォートゾーンからの脱却 ー / Toward Agile Teams in the Age of AI
Avatar for TAKAKING22 takaking22
11
6.1k
田舎で20年スクラム(後編):一個人が企業で長期戦アジャイルに挑む意味
Avatar for Tomonori Fukuta chinmo
1
1.3k

Featured

See All Featured
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
0
200
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
2
3.9k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
730
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
45k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
77
5.2k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
35
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.8k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.1k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.3k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
39
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M

Transcript

  1. Network Firewall Proxyで 脱Squid運⽤?! 2026/1/16 OpsJAWS#38 1

  2. ⾃⼰紹介 • ryosaan (@hr0hr57) • とあるSIerでインフラ設計‧構築を担当 • 所属コミュニティ ◦ AWS

    Community Builder(Cloud Operations) from 2023 ◦ OpsJAWS運営 ◦ この他クラウド系コミュニティによく出没 • 2022-25 APN ALL AWS Certifications Engineers • 好きなAWSサービス ◦ CloudWatch 2 プレーリーカード

  3. ⽬次 • Network Firewall Proxyとは • アウトバウンドトラフィック制御とは • SNIスプーフィング対策 •

    フィルタリングルール • Network Firewall Proxyの構成 • さいごに 3

  4. Network Firewall Proxyとは • 2025/11/25にアップデートを眺めていると 4

  5. Network Firewall Proxyとは • 2025/11/25にアップデート(Public Preview中) 5 https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-network-firewall-proxy-preview/

  6. Network Firewall Proxyとは • 2025/11/25にアップデート(Public Preview中) 6 https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-network-firewall-proxy-preview/

  7. Network Firewall Proxyとは • 2025/11/25にアップデート(Public Preview中) 7 https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-network-firewall-proxy-preview/

  8. Network Firewall Proxyとは ついにAWSマネージドサービスでSNIスプーフィング対策ができる! 脱Squid(on EC2/ECS)できるのでは?! 8

  9. アウトバウンドトラフィック制御とは • システム内部から外部への通信を検査し、許可/拒否などを⾏うこと • システムに侵⼊されたとしても、C&Cサーバへの通信を防ぐ事で不正なデー タ転送を防⽌できる • 攻撃⼿法は様々ありIP/ドメインリストでの許可では不⼗分 ◦ SNIスプーフィング対策

    ◦ TLS検査/HTTPヘッダ検査 ◦ DNSトンネリング対策 ◦ etc • Squid等をEC2やECSで運⽤していた ◦ アプライアンス製品なども 9

  10. SNIスプーフィング対策 • Network FirewallはHTTPS通信では TLSハンドシェイク時に送られる SNI(Server Name Indication)を 元にドメインフィルタリングを⾏う •

    このSNIは偽装が可能 ◦ TLSインスペクションと組み合わせるな どが必要 • curlでの偽装⽅法例 10 ホスト (マルウェア) Netwrok Firewall 攻撃者 サーバー 従来のNetwork Firewall ホスト (マルウェア) Netwrok Firewall 攻撃者 サーバー —resolve でバイパス SNI=example.comは 許可リストに存在する TLS接続 SNI=example.com 宛先=192.0.2.1 通過 C&C成功

  11. SNIスプーフィング対策 • Proxyが仲介し、正しい名前解決を ⾏うため、SNIスプーフィングが不 可になる • 他の攻撃に対してもTLS検査や HTTPヘッダ検査などを通して攻撃 を防ぐ事ができる ≒Squid

    11 ホスト (マルウェア) Proxy 攻撃者 サーバー Network Firewall Proxy ホスト (マルウェア) Netwrok Firewall 攻撃者 サーバー 名前解決 →正しい宛先を取得 CONNECT example.com:443 TLS通信 正しい応答 レスポンス

  12. フィルタリングルール • 3つのフェーズで設定する ◦ PreDNS ▪ クライアントからProxyに接続し、Proxyが名前解決を⾏う前に動作 ▪ ドメインフィルタリングなどを⾏う ◦

    PreRequest ▪ 名前解決後、HTTPリクエストを送信する前に動作 ▪ 不正なパスやメソッド、ヘッダ情報でフィルタ可能 ◦ PostResponse ▪ レスポンスを受信した後に動作 ▪ 不正なコンテンツタイプやレスポンスコードをフィルタリング • それぞれを組み合わせることでDNSトンネリングや外部サービスの状態確認 が可能 12

  13. 構成のポイント • NAT Gatewayにアタッチする形でデプロイされる ◦ Regional NAT Gatewayに対してはアタッチ不可(選択画⾯にはあるので今後に期待) ◦ AZごとに存在する場合は各NAT

    Gatewayに対して設定が必要 ▪ ただし、プレビュー期間中は1アカウントに1つまでなので未検証 • ⾃動的にProxyエンドポイントが作成される ◦ 現状コンソールからエンドポイントは作成できない • クライアントからNATGatewayへのルーティングがある場合は削除する ◦ バイパスルートになる可能性がある • クライアントに明⽰的にProxy設定をする 13

  14. 構成 • Network Firewallに⽐べてかなりシンプル 14

  15. ブログにまとめてますのでぜひ 15 https://zenn.dev/nnydtmg/articles/aws-managed-proxy-update

  16. さいごに • ついにAWSマネージドで簡単にアウトバウンドセキュリティを保護できる サービスが登場! • Network Firewallに⽐べて構成もシンプルに • 既存環境に適⽤する際はルーティング設定など注意が必要 •

    GAする際の料⾦設定に要注⽬! 16

  17. ご清聴ありがとうございました!! 17