Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
図で理解するAWS Network Firewallのアーキテクチャ
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Atsushi Satou
January 17, 2025
Technology
0
370
図で理解するAWS Network Firewallのアーキテクチャ
Atsushi Satou
January 17, 2025
Tweet
Share
More Decks by Atsushi Satou
See All by Atsushi Satou
AWS ECSでサービス間通信についておさらい
atsuw0
1
110
CLIで構築した方が良いもの一覧.pdf
atsuw0
0
160
HCP Terraformを使ったら AWSやGCPの環境構築が捗った話
atsuw0
0
230
HashicorpCloudについて.pdf
atsuw0
0
26
HCP Terraform について
atsuw0
0
1.8k
HashicorpCloudについて.pdf
atsuw0
0
33
AWS サーバレス設計 Tips集
atsuw0
0
120
AWS re:Invent 2023 ストレージ EFSレプリケーションのフェイルバック機能を試してみた
atsuw0
0
400
AWS re:Invent 2023 個人的に興味深いもの集
atsuw0
0
120
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2026年3月度サービス・アップデート
oracle4engineer
PRO
0
180
FastMCP OAuth Proxy with Cognito
hironobuiga
3
220
Amazon Qはアマコネで頑張っています〜 Amazon Q in Connectについて〜
yama3133
1
150
OCI技術資料 : 証明書サービス概要
ocise
1
7.1k
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える
flatt_security
8
6.4k
契約書からの情報抽出を行うLLMのスループットを、バッチ処理を用いて最大40%改善した話
sansantech
PRO
3
320
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
toru_kubota
1
190
AIにより大幅に強化された AWS Transform Customを触ってみる
0air
0
180
開発チームとQAエンジニアの新しい協業モデル -年末調整開発チームで実践する【QAリード施策】-
kaomi_wombat
0
260
How to install a gem
indirect
0
1.9k
OPENLOGI Company Profile for engineer
hr01
1
61k
The Rise of Browser Automation: AI-Powered Web Interaction in 2026
marcthompson_seo
0
310
Featured
See All Featured
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
260
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
200
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.1k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.1k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
85
The agentic SEO stack - context over prompts
schlessera
0
720
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
850
A Modern Web Designer's Workflow
chriscoyier
698
190k
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.4k
Speed Design
sergeychernyshev
33
1.6k
Transcript
図で理解するAWS Network Firewallのアーキテクチャ 佐藤 淳 【増枠】渋谷でビール片手に LT会! ※初心者大歓迎 https://metaps.connpass.com/event/338514/
自己紹介 名前: 佐藤 淳 ( Atsushi Sato ) 会社: アイレット株式会社
(今日は個人的な参加) 職業: インフラエンジニア(AWS、GCP) 趣味: キャンプ、登山、旅行 Qiita: https://qiita.com/atw0_0w
今回の発表の目的 https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/ ・Network Firewall の構成についてググってみると検索上位の記事でこんな記述が ... 「AWS Network Firewallのデプロイモデル」 2021/7/29
寄稿 Network Firewallは、VPC Peeringにより接続されたVPC間や、Virtual Private Gateway(VGW)を使用してVPCに直接接続されたオンプレミス ネットワークのトラフィックを検査することはできません。
今回の発表の目的 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-amazon-virtual-private-gateway-ingress-rout ing-support-for-gateway-load-balancer/ ・ただし、以下のアップデートによって、 VGWに対してIngress Route TableでNetworkFirewall Endpointへのルーティングを定義することで、 NFWへのトラフィックの検査が可能になった。 「Announcing
Amazon Virtual Private Gateway Ingress Routing support for Gateway Load Balancer」 2023/8/30 寄稿 このシナリオでは、トラフィックフローにネットワークファイアウォール (GWLB を使用) を挿入しています。新しいネットワークファイアウォール が作成されると、そのサブネットに GWLB エンドポイントが作成され、 ルーティングテーブルにターゲットとして vpce-id が表示されます。
・AWSのアップデートは随時行われているため、最新の構成について把握する ・Network Firewallの設定方法についてざっくりと理解する 今回の発表の目的
Firewallとは?
・WAFとの違いは? そもそもFirewallとは? WAF (Web Application Firewall) Firewall OSI参照モデル アプリケーション層(Layer 7)
ネットワーク層(Layer 3) 目的 WebアプリケーションやAPIへの脆弱 性を狙った攻撃から保護 ネットワークへの不正アクセ スを防ぐ 検出・ブロックできる 攻撃 SQLインジェクション、XSS、CSRF、 DoS攻撃、DDoS攻撃 等 ポートスキャン、DoS攻撃、 DDoS攻撃、パケットスニッ フィング ユースケース Webアプリケーション、APIのフロント 部分(ロードバランサ) 異なるネットワーク間での通 信 AWSサービス AWS WAF AWS Network Firewall
AWS Network Firewallの設計 を図で理解する。
アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.
ルートテーブル設計一覧
ルールグループの設定例 ① ・ルール変数にて、許可/拒否するIPアドレスやポートを定義 名前 タイプ 値 IP_SET_DMZ IP set 10.0.11.0/24
10.0.12.0/24 IP_SET_ONPRE IP set 192.168.0.0/16 IP_SET_WEBAPP IP set 10.0.21.0/24 10.0.22.0/24 PORT_ALLOW_HTTPS Ports 80 443 PORT_ALLOW_SSH Ports 22
ルールグループの設定例 ② ・今回はステートフルルールについてご紹介。 (ステートレスもある) ・ステートフルなので上から優先的にルール適用される 上に許可のルールを一通り記述し、最後に拒否のルールを記述。 ・TCPなので上り/下りのルールを追加
まとめ NFWなど普段あまり触れないサービスだからこそ、いざ使用する際ドキュメント不足などで適切 な要件定義ができないといったこともある。 定期的にキャッチアップして、日本語のドキュメントが不足していたらアウトプットとして発信する ことが大事。
ご清聴ありがとうございました
SiteGround - Reliable hosting with speed, security, and support you can count on.
atsuw0
oracle4engineer
hironobuiga
yama3133
ocise
flatt_security
sansantech
toru_kubota
0air
kaomi_wombat
indirect
hr01
marcthompson_seo
szymonslowik
smashingmag
427marketing
joshbly
ipullrank
akademiya2063
schlessera
productmarketing
soysaucechin
chriscoyier
sergeychernyshev
![アーキテクチャ [シナリオ] 利用者が限定されているWebアプリケーション. オンプレミスからの接続もあるハイブリッドクラウド 構成.](https://files.speakerdeck.com/presentations/e201941905d044ddaa48aab332c3e1c6/slide_8.jpg){kind=link}
