Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Network Firewall Proxyを触ってみた
Search
nagisa_53
February 06, 2026
Technology
480
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Network Firewall Proxyを触ってみた
JAWS-UG 栃木 オフライン # 6 -1周年感謝祭-
nagisa_53
February 06, 2026
More Decks by nagisa_53
See All by nagisa_53
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
330
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
300
Rodeoで感じたアーキテクチャ図は言語の壁を越える!?
nagisa53
1
85
re:Invent 2025で発表されたNW系のアップデートについて?
nagisa53
1
86
ラスベガス到着~12/2までに現地で学んだこと
nagisa53
0
30
ALBのURL / Host Header rewriteを試してみた
nagisa53
0
470
re:Inventに向けてウォームアップしよう!
nagisa53
1
280
re:Inventに行くまでにやっておきたいこと
nagisa53
0
2.6k
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
nagisa53
11
5k
Other Decks in Technology
See All in Technology
大量データに対しても、生成AIを用いてリーズナブルにデータ加工をしたい!Databricksのai_queryについて調べてみた
kamoshika
1
110
AI時代の EM への処方箋
staka121
PRO
0
140
“それは自分の仕事じゃない"を越えて行け
yuukiyo
0
140
ポストモーテム! DDoSからサイトは守れた。 でもビジネスは守れなかった。
bengo4com
0
2.8k
10年目を迎えた「ABEMA」がどのように AI 活用を推進して、AI 駆動開発にシフトしているのか / How ABEMA, entering its 10th year, is promoting the use of AI and shifting toward AI-driven development
miyukki
0
130
kintone の AI コワーカーを、 Anthropic にエージェントを"ホストさせて"作った話 #devkinmeetup
sugimomoto
0
100
生成AIの活用/high_school2026
okana2ki
0
130
非定型なドキュメントを効率よくリファクタする 〜えぇ!?仕様書27本の移行が1日で終わったって!?〜
subroh0508
1
350
SRE Lounge Hiroshimaへの招待
grimoh
0
640
ゴールデンパスは敷いただけでは道にならない ─ 企画部門のエンジニアが技術標準を事業価値に変えるまで
mhrtech
0
140
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
230
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
110k
Featured
See All Featured
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
Crafting Experiences
bethany
1
210
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
260
Marketing to machines
jonoalderson
1
5.6k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.6k
We Are The Robots
honzajavorek
0
270
エンジニアに許された特別な時間の終わり
watany
107
250k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.4k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
260
Optimising Largest Contentful Paint
csswizardry
37
3.8k
Transcript
+"846(ಢΦϑϥΠϯपײँࡇ "84/FUXPSL'JSFXBMM1SPYZ Λ৮ͬͯΈͨ ޒຯͳ͗͞ʢ9ɿ!OBHJTB@ʣɹ
ࣗݾհ w ໊લɿޒຯͳ͗͞ w ࣄɿ4*FSΠϯϑϥ෦Ϋϥυؔ࿈άϧʔϓϚωʔδϟʔ w झຯɿΩοΫϘΫγϯά ɺεΩϡʔόμΠϏϯά w ͖ͳ"84αʔϏεɿ/8ܥαʔϏεશൠ
"84$PNNVOJUZ#VJMEFSTʢ/FUXPSLJOHBOE$POUFOU%FMJWFSZʣ "84"NCBTTBEPSTʢʣ "84+BQBO5PQ&OHJOFFSTʢʣ +BQBO"MM"84$FSUJGJDBUJPOT&OHJOFFSTʢʣ +"846(Ϋϥυঁࢠձ࠼ͷࠃ࡛ۄࢧ෦ӡӦ +"84%":4࣮ߦҕһʢӶҙ४උதʂʣ
"84/FUXPSL'JSFXBMM1SPYZ 1SFWJFX w "84Ϛωʔδυͳ'PSXBSE1SPYZ w ʹ1SFWJFX൛ͱͯ͠ొ w ͜Ε·ͰϚωʔδυͳ'PSXBSE1SPYZ͕ͳ͘ɺ '2%/Ͱͷ੍ޚΛݫີʹߦ͍͍ͨ߹ɺ 4RVJEͷQSPYZαʔόΛϢʔβʔଆͰཱͯΔඞཁ͕͋ͬͨɻ
ˠɹ͍ͭʹ"84ϚωʔδυͰར༻Ͱ͖Δ1SPYZ͕ʂ
ैདྷͷ"/'ʹ͓͚ΔѼઌ੍ޚͷ՝ ANF ಁաతɻ HTTPS௨৴ͷ߹ɺ ʢTLS InterceptionΛར༻͍ͯ͠ͳ͍ݶΓʣ ௨৴ͷதݟΕͳ͍ͨΊ SSL/TLSϋϯυγΣΠΫͷClient Helloʹؚ·ΕΔ SNIͷΛݩʹ੍ޚɻ
※HTTPͷ߹Host Headerͷ SNIͷ࣮ࡍͷѼઌFQDNͱҟͳΔʹِՄೳ ڐՄ͍ͯ͠Δϗετ໊ΛSNIʹೖΕͯ͠·͑௨৴Ͱ͖ͯ͠·͏ ΫϥΠΞϯτͱͯ͠ Ѽઌʹͦͷ··ଓ Ѽઌɿ https://example.com
ैདྷͷ"/'ʹ͓͚ΔѼઌ੍ޚͷ՝ Proxy Ѽઌͷ௨৴ΛProxyαʔό͕தܧ͢ΔܗʹͳΔɻ HTTPS௨৴ͷதݟΕͳ͍͕ɺΫϥΠΞϯτ HTTP CONNECTϝιουͰProxyαʔόʹଓͨ͠ͷͪ ʹProxyαʔόʹͯѼઌͷ໊લղܾΛߦ͏ͨΊɺ ࣮ࡍͷѼઌͱͳΔFQDNΛݩʹ੍ͨ͠ޚ͕Մೳ ProxyΛ໌ࣔతʹࢦఆ Ѽઌɿ
https://example.com
/FUXPSL'JSFXBMM1SPYZͷߏ Ҿ༻ݩɿhttps://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/ NAT GatewayͱηοτͰར༻ Proxy Endpoint͕࡞ΒΕɺ ΫϥΠΞϯτଆProxy EndpointΛ ϓϩΩγαʔόͱͯ͠ࢦఆ ैདྷͷNetwork
Firewallͷ Endpointෆཁ
࣮ࡍʹͬͯΈͨ w ҎԼͭΛॱʹઃఆ w ϓϩΩγάϧʔϓ w ϓϩΩγઃఆ w ϓϩΩγʢຊମʣ
ϓϩΩγάϧʔϓ w ϧʔϧͷϑΣʔζͱ݅ɺΞΫγϣϯʢڐՄڋ൱ʣΛઃఆ w ϑΣʔζ w QSF%/4 w υϝΠϯ໊ղܾલʹධՁ͞ΕΔ w
1SF3FRVFTU w %/4ղܾޙɺ)551TϦΫΤετΛૹ৴͢ΔલʹධՁ͞ΕΔ w 1PTU3FTQPOTF w )551TϨεϙϯεΛड৴ͨ͠ޙʹධՁ͞ΕΔ ˞1SF3FRVFTUͱ1PTU3FTQPOTFཁ5-4*OUFSDFQUJPO
ิ 5-4*OUFSDFQUJPO ΫϥΠΞϯτͱProxyؒͰTLS SessionΛཱ֬͠ɺҰProxy্Ͱ҉߸ԽΛղ͍ͯ தΛ֬ೝͷ্ɺProxyͱຊདྷͷѼઌؒͰTLS SessionΛཱ֬͢Δɻ ͜ͷ߹ɺΫϥΠΞϯτͱͷTLS Sessionͷཱ֬ͷͨΊʹඞཁͳূ໌ॻͷProxy ͷηοτɺΫϥΠΞϯτଆʹ֘ͷূ໌ॻͷϧʔτূ໌ॻΛImport͢Δ ͳͲͷରԠ͕ඞཁɻ
Ҿ༻ݩɿhttps://aws.amazon.com/jp/blogs/networking-and-content-delivery/securing-egress-architectures-with-network-firewall-proxy/
ϓϩΩγάϧʔϓ w ݅ ϑΣʔζʹΑͬͯ ͑Δ݅ҟͳΔ
ϓϩΩγάϧʔϓ ࠓճQSF%/4ϑΣʔζͰಛఆ'2%/ΛڐՄ͢ΔϓϩΩγάϧʔϓΛ࡞
ϓϩΩγઃఆ w σϑΥϧτͷΞΫγϣϯͱඥ͚Δϧʔϧάϧʔϓͷઃఆ PreRequest/PostResponseͷσϑΥϧτΞΫγϣϯΛʮڋ൱ʯʹ͍ͯ͠ΔͱHTTPϦΫΤετ/Ϩεϙϯεͷத ΛݟΑ͏ͱ͢Δಈ࡞ʹͳΔͷ͔ɺʮTLS interceptionʯΛར༻͠ͳ͍ঢ়ଶͰɺ͜ͷޙߦͬͨಈ࡞֬ೝͷ ࡍʹTLS Connection Error͕ൃੜͨ͠ͷͰཁҙɻ PreDNSͷϧʔϧ͔͠Θͳ͍߹ɺPreDNSͷΈʮڋ൱ʯͱ͍ͯ͠Εظ͢Δ੍ޚ͕Մೳɻ
ࠓճϓϩΩγάϧʔϓ ͰڐՄͨ͠FQDNҎ֎ڋ ൱͍ͨ͠ͷͰɺσϑΥϧ τΛʮڋ൱ʯͰઃఆɻ ͕ɺҎԼ՝ɻ
ϓϩΩγʢຊମʣ w ඥ͚Δ/"5(BUFXBZ5-4JOUFSDFQUJPOɺ ϙʔτ൪߸ͳͲͷઃఆΛߦ͏ ݱ࣌Ͱ Resional NAT Gateway ࢦఆෆՄ
ૄ௨֬ೝ w ڐՄͨ͠'2%/ˠૄ௨0, w ૄ௨0,ڐՄ͍ͯ͠ͳ͍Ѽઌ1SPYZܦ༝Ͱ$VSM ˠ$0//&$5ʹର͠1SPYZ͔Β͕ฦ͓ͬͯΓૄ௨/(
ऴΘΓʹ w ࣮ࡍʹͬͯΈ͕ͨҰൠతͳ1SPYZ༻్ͱͯ͠ඞཁͳػೳΛඋ͍͑ͯͦ͏ w ৄ͘͠ҎԼΛݟ͍ͯͩ͘͞ "84ͷ&HSFTT௨৴पΓͷΞοϓσʔτʹ৮ΕͯΈͨ3FHJPOBM/"5(BUFXBZ /FUXPSL'JSFXBMM1SPYZ w Ұൠఏڙ։࢝ͨ͠ޙͷ͓ஈؾʹͳΔͱ͜Ζɻɻɻ
ˠैདྷͷ/FUXPSL'JSFXBMMͷ&OEQPJOUΛར༻͢ΔܗͰͳ͍ͷͰ ผྉۚମܥʹͳΔͷͰͱظ ૣ͘དྷͯ΄͍͠
None