一元化されたネットワークファイアウォール

ファイアウォール VPC AWS Network Firewall にデプロイします。この VPC は、送信元から送信先へのトラフィックとインターネットからのトラフィックを検査するファイアウォールをホストすることで重要な役割を果たします。

ファイアウォールルールグループ

ファイアウォール VPC からインターネット、およびインターネットから VPC に流れるトラフィックを AWS マネージドルール モニタリングおよび管理するために、カスタムルールを定義するか、既存の を使用します。要件に基づいて、ステートフルルールまたはステートレスルールを作成します。

• ステートフルルール - パケットの検査時に、トラフィックフローの方向とパケットに関連するその他のトラフィック承認が考慮されます。

  このルールグループは、Suricata 互換侵入防止システム (IPS) の要件に準拠しています。詳細については、Network Firewall のドキュメントを参照してください。

  Network Firewall は、ドメイントラフィックフィルタリングもサポートしています。リストされている特定のドメインへのトラフィックは、トラフィックフローを制御するために標準ネットワーク属性に基づいて定義されたルールを使用してモニタリングされます。

• ステートレスルール – Network Firewall のステートレスルールエンジンは、ステートレスルールグループについて各パケットを個別に分析します。ネットワークのファイアウォールは、トラフィックの方向やその他の関連するパケットなどのコンテキストを考慮しません。

• AWS マネージドルール ルールグループ – Network Firewall を使用すると、 AWS マネージドルール ルールグループにアクセスできます。これらのプリセットされた使用可能なルールのコレクションは、up-to-dateセキュリティを維持します。 は、検出された新しい脆弱性または脅威に基づいてルールグループ AWS を更新します。

ファイアウォールポリシー

ファイアウォールポリシーを作成します。ファイアウォールポリシーにアタッチするルールに基づいて、ファイアウォールのモニタリングと保護の動作を定義します。これらのルールは、 によって提供されるマネージドルール AWS 、または作成したカスタムステートフルルールまたはステートレスルールにすることができます。

ファイアウォール

ファイアウォール VPC で、定義したファイアウォールポリシーを使用してファイアウォールを作成します。ファイアウォール専用の 3 つのサブネット (Transit Gateway サブネットではない) を選択します。ファイアウォールを作成したら、Network Firewall によって作成された VPC エンドポイントを書き留めます。

これらのエンドポイントにトラフィックをルーティング0.0.0.0/0するように、ファイアウォールの VPC Transit Gateway サブネットの送信先を設定します。エンドポイントを設定するときは、各 Transit Gateway サブネットが対応するファイアウォールエンドポイントサブネットと一致していることを確認してください。適切なサブネットマッピングは、トラフィックのルーティングと検査の高可用性を確保するのに役立ちます。

ファイアウォールのログ記録

ネットワークファイアウォールによってブロックされているトラフィックを分析するには、ファイアウォールのログ記録を有効にします。ファイアウォールのログ記録は、不正なアクティビティを特定するだけでなく、VPC 内外で発生している他のアクティビティを分析するのに役立ちます。