はじめに

AWS Network Firewall（以下 NWFW）の導入例を探してアーキテクチャ図を眺めていると，説明されている図によって NAT ゲートウェイ（以下 NATGW）との配置がまちまちであることに気づきます。

つまり，プライベート・パブリックサブネットのシンプルな構成の場合，インターネット宛ての通信経路は大別すると

1. プライベートサブネット→ NATGW→ NWFW →インターネット
2. プライベートサブネット→ NWFW → NATGW →インターネット

の2種類が存在します。

それぞれのアーキテクチャの違いと，どちらを選定すべきかの指針についてまとめます。

1. NATGW → NWFW

こちらはプライベートサブネットからの通信が NATGW で集約されて NWFW に入り，検査が通ったパケットがインターネットに出るアーキテクチャです。

NATGW で集約されるので，NWFW からは送信元 IP アドレスが NATGW に集約されてしまいます。

また，NWFW での拒否に関わらずすべての通信が NATGW を経由するので，若干コストが高くなります。

記事例：AWS Network Firewallのデプロイモデル

2. NWFW → NATGW

こちらはプライベートサブネットからの通信を先に NWFW で受けて，許可されたもののみ NATGW を通してインターネットに出るアーキテクチャです。

NWFW からは送信元 IP アドレスが見えるようになります。

また NWFW で拒否された通信は NATGW に到達しないので，その分の通信量が抑えられ，コストが若干下がります。ただし拒否された通信が多くなければそんなに変わりません。

記事例：AWS Network Firewall 応用編1^[1]

MSR の登場により可能に

実はこちらは2021年9月に登場した Amazon VPC の新機能 More specific routing (MSR) で，ルートテーブルに VPC の CIDR よりも細かい CIDR を指定できるようになったため，実現されるようになりました。こちらのアーキテクチャを紹介している記事はすべて MSR 登場以降です。

今までバイパスされてしまったものが，CIDR を細かく指定することで NWFW を通る経路になり，NWFW での統制を効かせることができます。

選定指針

以上より，送信元 IP アドレスの特定，コストの両方の観点から，2 のアーキテクチャが優れているので，まずはこちらを検討するとよいといえます。

MSR 登場前の記事はすべて 1 ですし，Network Firewall の公式ドキュメントでさえも 1 なので，参考にする場合は注意する必要があります。

脚注

1. 応用編2がリリースされない… ↩︎