一元化されたネットワークファイアウォール - AWS 規範ガイダンス
ファイアウォールルールグループファイアウォールポリシーファイアウォールファイアウォールのログ記録

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

一元化されたネットワークファイアウォール

ファイアウォール VPC AWS Network Firewall にデプロイします。この VPC は、送信元から送信先へのトラフィックとインターネットからのトラフィックを検査するファイアウォールをホストすることで重要な役割を果たします。

ファイアウォールルールグループ

ファイアウォール VPC からインターネットへのトラフィック、およびインターネットから VPC に流れるトラフィックをモニタリングおよび管理するために、カスタムルールを定義するか、既存の AWS マネージドルールを使用します。要件に基づいて、ステートフルルールまたはステートレスルールを作成します。

  • ステートフルルール – パケットを検査する際に、トラフィックフローの方向やパケットに関連するその他のトラフィック承認状況が考慮されます。

    このルールグループは、Suricata 互換侵入防止システム (IPS) の要件に準拠しています。詳細については「Network Firewall ドキュメント」を参照してください。

    また、Network Firewall ではドメイントラフィックのフィルタリングもサポートしています。リストに記載された特定のドメインへのトラフィックは、標準ネットワーク属性に基づいて定義されたルールによってモニタリングされ、トラフィックフローが制御されます。

  • ステートレスルール – Network Firewall のステートレスルールエンジンは、ステートレスルールグループ用に各パケットを個別に分析します。ネットワーク用のファイアウォールは、トラフィックの方向やその他の関連するパケットなどのコンテキストを考慮しません。

  • [AWS マネージドルール] ルールグループ – Network Firewall を使用すると、[AWS マネージドルール] ルールグループにアクセスできます。これらのプリセット済みで使用可能なルールのコレクションによって、最新のセキュリティが維持されます。AWS は、新たに検出された脆弱性や脅威に基づいて、ルールグループを更新します。

ファイアウォールポリシー

ファイアウォールポリシーを作成します。ファイアウォールポリシーは、アタッチするルールに基づいて、ファイアウォールのモニタリングと保護の動作を定義します。これらのルールには、AWS が提供するマネージドルール、または作成したカスタムステートフルルールやステートレスルールを使用できます。

ファイアウォール

ファイアウォール VPC で、定義したファイアウォールポリシーを使用してファイアウォールを作成します。ファイアウォール専用の 3 つのサブネット (トランジットゲートウェイ用のサブネットではないもの) を選択します。ファイアウォールを作成したら、Network Firewall によって作成される VPC エンドポイントを書き留めます。

これらのエンドポイントにトラフィックをルーティングするように、ファイアウォール VPC のトランジットゲートウェイサブネットの送信先 0.0.0.0/0 を設定します。エンドポイントを設定する際は、各トランジットゲートウェイサブネットが対応するファイアウォールエンドポイントサブネットと一致していることを確認してください。適切なサブネットマッピングにより、トラフィックのルーティングと検査の高可用性を確保できます。

ファイアウォールのログ記録

ネットワークファイアウォールによってブロックされたトラフィックを分析するために、ファイアウォールのログ記録を有効にします。ファイアウォールのログ記録により、不正なアクティビティを特定できるだけでなく、VPC 内外で発生しているその他のアクティビティを分析することもできます。