AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

AWS Network Firewallは、Amazon VPCを保護するためのフルマネージドなステートフルネットワークファイアウォール・侵入防止（IPS）サービスです。VPCの境界でトラフィックを検査し、悪意のあるトラフィックのブロックや、許可されたトラフィックのみの通過を実現します。

セキュリティグループやネットワークACLよりも高度な検査（L3〜L7、ドメイン名フィルタ、ディープパケットインスペクション）を提供し、可用性とスケーリングはAWSが自動管理します。

2. 主な特徴と機能

2.1 ステートフルインスペクション

コネクションの状態を追跡してフローを検査。Suricata互換のオープンソースIPSルールをインポートして高度な脅威検知が可能。

2.2 ドメイン・URLフィルタリング

許可/拒否するドメイン名のリスト（アローリスト/ブロックリスト）を設定し、アウトバウンドトラフィックを制御。データ流出（ex-filtration）対策に有効。

2.3 ステートレスルールとステートフルルール

• ステートレスルール: 個々のパケットを高速に評価（5タプルベース）。
• ステートフルルール: コネクションのコンテキストを考慮した詳細な検査（Suricata構文）。

2.4 ファイアウォールポリシーとルールグループ

ルールグループ（再利用可能なルールの集合）をファイアウォールポリシーにまとめ、複数のファイアウォールに適用。

3. アーキテクチャおよび技術要素

• ファイアウォールエンドポイント: 各AZの専用「検査用サブネット（firewall subnet）」にファイアウォールエンドポイントを配置。
• ルーティング: サブネットのルートテーブルやVPCのIngress Routingを設定し、トラフィックをファイアウォールエンドポイント経由でルーティング（IGW→ファイアウォール→ワークロードサブネット）。
• Transit Gateway連携: 集中型インスペクションVPCにNetwork Firewallを配置し、TGW経由で複数VPCのトラフィックを一元検査。

4. セキュリティと認証・認可

• IAM: ファイアウォール・ポリシー・ルールグループの管理権限をIAMで制御。
• ログ記録: フローログ・アラートログをCloudWatch Logs・S3・Kinesis Data Firehoseに出力。
• 暗号化: ルールやログをKMSで暗号化可能。
• TLSインスペクション: 暗号化されたトラフィックを復号して検査する機能も提供。

5. 料金形態

• ファイアウォールエンドポイントの稼働時間（時間あたり）。
• 処理したトラフィック量（GBあたり）。

6. よくあるアーキテクチャ・設計パターン

• 境界保護: IGW ↔ ファイアウォールサブネット ↔ ワークロードサブネット のルーティングで南北トラフィックを検査。
• 集中型インスペクション: Transit Gateway＋専用インスペクションVPCにNetwork Firewallを配置し、複数VPC・オンプレ間のトラフィックを一元検査。
• アウトバウンド制御: ドメインフィルタで許可ドメインのみ外部通信を許可しデータ流出を防止。
• 一元管理: AWS Firewall Managerで組織全体にファイアウォールポリシーを一括適用。

7. 設定・デプロイ手順（ハンズオン例）

1. 各AZにファイアウォール用サブネットを作成。
2. ルールグループ（ステートレス/ステートフル）を作成→ファイアウォールポリシーにまとめる。
3. ファイアウォールを作成してVPC・サブネットを指定。
4. ルートテーブルを編集してトラフィックをファイアウォールエンドポイント経由にルーティング。
5. ログをCloudWatch Logs/S3に出力して検査結果を確認。

8. 試験で問われやすいポイント