Slide 25
Slide 25 text
4. AWS Network Firewall
25
n シグネチャの中⾝
・www.iret.co.jp へのhttps通信をdropするシグネチャ
drop tcp $HOME_NET any -> any(msg:“違反検出 https://www.iret.co.jp";
tls.sni; cont$EXTERNAL_NET ent:"www.iret.co.jp";
startswith; endswith; flow:to_server, established; sid:1000001; rev:1;)
drop このルールに違反した時のアクション
tcp $HOME_NET any -> $EXTERNAL_NET any HOME_NET このNetwork FirewallがデプロイされているVPC CIDRから,それ以外のIPアドレスへのtpcポート全て
msg:“違反検出 https://www.iret.co.jp このルールに該当した場合にログに出⼒されるメッセージ
tls.sni; content:“www.iret.co.jp”; startswith; endswith; SNIフィールドにwww.iret.co.jpが含まれた場合
flow:to_server, established クライアントからwww.iret.co.jpを提供しているサーバーに対して通信が確⽴されたものにルールを適⽤する
sid:1000001; rev:1; ルールの識別⼦とリビジョン番号(ユーザーが作成したシグネチャのIDは1000000-1999999で指定)