よくある質問

マルチ AZ 配置では、インターネットトラフィックをファイアウォール経由でルーティングするのにロードバランサーが必要ですか?

AWS Network Firewall は、送受信トラフィックに対して透過的であり、それ自体にロードバランサーは必要ありません。ロードバランサーはアプリケーションにのみ必要です (標準のマルチ AZ 配置と同様)。このガイドの境界ゾーンアーキテクチャでは、Network Firewall は、パブリックサブネットのルートテーブルと対応するネットワークインターフェイスを介して挿入されます。

Application Load Balancer がパブリックサブネット (インターネットゲートウェイにルーティング) にない場合、内部の Application Load Balancer ですか？

Application Load Balancer は内部 Application Load Balancer ではありません。Application Load Balancer は、サブネットがインターネットに直接接続されていない場合でも、外部のインターネット向けサブネットに引き続き接続します。エンドポイントのサブネットからパブリックサブネットへのルーティングは Network Firewall のネットワークインターフェイスに基づいているため、サブネットはインターネットで透過的に使用できます。

Network Firewall には独自のセキュリティサブネットが必要ですか?

はい、Network Firewall には独自のセキュリティサブネットが必要です。Application Load Balancer とのトラフィックのルーティングをルートテーブル経由で制御できるようにするには、セキュリティサブネット (パブリック) が必要です。

ターゲットアーキテクチャは、受信トラフィックと出力トラフィックの両方のファイアウォールに有効ですか?

はい、ターゲットアーキテクチャは入力トラフィックと出力トラフィックの両方のファイアウォールに有効です。アプリケーションから VPC の外部への接続が開始された場合は、エンドポイントのサブネットに NAT ゲートウェイを追加する必要があります。また、ルートテーブルを使用して、アプリケーションのサブネットから NAT ゲートウェイにトラフィックを転送する必要があります (このガイドの「ネットワークファイアウォールに基づくペリメータゾーンアーキテクチャ」セクションの図のルートテーブルアプリケーションを参照）。それ以降は、送信トラフィックはすべて引き続き Network Firewall を通過するため、それ以上の変更は必要ありません。