🚴🏻‍♀️

【AWS Network Firewall】AWSの基礎を学ぼう おさらい

2021/05/26に公開

概要

「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」で”AWS Network Firewall のおさらい”のイベントに参加した感想ページです。

「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」とは

AWS エバンジェリストシリーズ AWSの基礎を学ぼう

以下、Connpassページより引用

Amazon Web Services (AWS)は現在200を超えるサービスを提供し、日々サービスの拡充を続けています。
このAWS エバンンジェリストシリーズでは週次でAWSのサービスをひとつづつ取り上げながらその基礎を説明していく 初心者、中級者をターゲットとした講座です。午後の仕事前にスキルアップを一緒にしませんか?
注意点 登壇者による発表内容はアマゾン ウェブ サービス ジャパンとして主催しているものではなく、コミュニティ活動の一環として勉強会の主催を行っているものです。

毎週ありがとうございます!

整理

AWS Network Firewallって何?

https://aws.amazon.com/jp/network-firewall
AWS Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。このサービスは、数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張されるため、インフラストラクチャのデプロイと管理について心配する必要はありません。AWS Network Firewall の柔軟なルールエンジンを使用すると、アウトバウンドサーバーメッセージブロック (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できます。また、一般的なオープンソースルール形式で既に作成したルールをインポートして、AWS パートナーが提供するマネージドインテリジェンスフィードを統合することも可能です。AWS Network Firewall は AWS Firewall Manager と連携するため、AWS Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを VPC とアカウント全体に一元的に適用できます。

料金

https://aws.amazon.com/jp/network-firewall/pricing/

  • Network Firewall Endpoint $0.395/hr
  • Network Firewall Traffic Processing $0.065/GB
  • NAT gateway Pricing 1時間ごとに追加費用なしで1時間と1GBのNATゲートウェイを使用し、ネットワークファイアウォールエンドポイントにGBを課金します。

$0.395/hr * 24h * 30day = $284.4(約3万円)
個人で試すにはそれなりに高いですね

WAFとNetwork Firewallとセキュリティグループの違い

WAF

  • 紐付け先 :
    • CloudFront
    • Application Load Balancer
    • Amazon API Gateway
    • AWS AppSync
  • 機能
    • 悪意のあるリクエストブロック
    • カスタムルールに基づいたWebトラフィックのフィルタ
    • モニタリングとチューニング
  • レイヤー
    • レイヤー7(アプリケーション層)

Network Firewall

  • 紐付け先 : VPC(Subnet)
  • 機能
    • パケットフィルタリング
    • 見える化&レポート
    • 一元でポリシー管理・リアルタイム監視
    • パブリック、プライベートとは違う、所謂DMZのサブネットが作れる。
  • レイヤー
    • レイヤー3、4(ネットワーク層、トランスポート層)

セキュリティグループ/ネットワークACL

  • 紐付け先 :
    • EC2
    • RDS
    • Subnet
  • 機能
    • プロトコル、IPでのDeny,Allow設定
  • レイヤー
    • レイヤー3、4(ネットワーク層、トランスポート層)

WAFとの違いはレイヤーの違いで良いのかな
セキュリティグループやNACLの違いは見える化や一元管理、あとはNetwork Firewallの方が複雑・詳細に設定きるかな

作ってみる

事前準備

AWSの構成図

外部からWEBにアクセスできることを確認

Firewall使う

AWSの構成図

Firewallで作る手順はこんな感じ

どのサブネットに紐付けるのかを設定

ポリシー設定ですが、まず空のポリシー

プロビジョンしているけど、スッテプ2は実施可能
ステートフルとステートレスのルール設定が可能


ステートフルとステートレス

ステートフル

  • サーバがクライアントのセッションの状態を保持している.
  • セキュリティグループの設定ではこちら

ステートレス

  • サーバがクライアントのセッションの状態を保持しない.
  • NACLの設定ではこちら

5-tupleで設定してみる

WEBアクセス時のクライアントが送信元で良いのかしら・・・

httpはアラートして、sshはドロップする

DMZサブネットはインターネットゲートウェイに流すように設定

パブリックサブネットはファイアフォールエンドポイントに流すように設定

ちなみにエンドポイントがどこにあるか悩んだけど、ファイアウォールの設定画面にありますん。

ではアクセスしてみる。。。できねぇ。。。

モニタリングは動いてますね。

困った時のReachability Analyzer
インスタンスとIGWは繋がっていますか?

繋がってねぇ。 パブリックサブネットのルートテーブルを見直してね とメッセージ

インスタンスとFirewall Endpointは繋がっていますか?

Firewall Endpointはサポート外やって!!

・・・続きは後日。

Discussion