VPC向けファイアウォールのAWS Network Firewallをハンズオンで体感する

2021.06.02

AWS Network FirewallはVPCにデプロイされるネットワークファイアウォールのマネージド・サービスです。レイヤ3〜7を制御します。

2020年11月末にリリースされたばかりで、東京リージョンで利用可能になったのも翌3月と出来たてほやほやのサービスのため、まだ様子見の方が多いかもしれません。

そんな人におすすめなのが、AWS公式のハンズオンです。

https://networkfirewall.workshop.aws/

わずか2時間でAWS Network Firewallを体感できます。

ハンズオンの流れ

ハンズオンは以下の流れで進行します。

  • AWS Network Firewall の概要の説明
  • デプロイ
  • トラフィックをフィルタリング

レベルは300-400(高度)で、2時間程度かかります。

1. AWS Network Firewall の概要の説明

AWS Network Firewall の概要を学びます。

図はワークショップから

2. デプロイ方法を学ぶ

本ワークショップでは、以下の2方式が解説されています。

各VPCにデプロイする DISTRIBUTED 型

  • Network Firewallエンドポイントのあるサブネットのトラフィックはフィルタリングできないため、専用のサブネットを用意
  • 非対称ルーティングにならないように、VPC Ingress Routingを使う

など、重要なポイントが抑えられています。

ハンズオンは、このDISTRIBUTED型をCloudFormationでデプロイします。

AWS Transit Gateway でフィルタリング用VPCに集約する CENTRALIZED 型

より複雑なネットワーク向けの構成例です。

VPC間(east-west)、インターネット間(north-south)の接続をAWS Transit Gatewayで特定のVPC(Inspection VPC)を経由するように集約し、そこで AWS Network Firewallのフィルタリングを行います。

リファレンス実装では、Inspection VPCにCGN(キャリアグレードNAT)のアドレスブロックを使っています。

デプロイ方法の詳細は以下のブログも参照ください。

動画版

3. ファイアウォールと戯れる

ステップ3:ラボ編がメインディッシュです。

以下のシナリオでファイアウォールと戯れます。

  1. ドメインフィルタリング
  2. ICMPトラフィックをフィルタリング
  3. オープンソースの侵入防止システム (IPS) Suiricataルールを指定し、シグネチャーにマッチするリクエストを検知
  4. 443ポートで非TLS通信をしている犯人探し

ハンズオンを参考に、自分で色々いじってみると、理解が深まります。

ハンズオンにはありませんが、AWS Partner Network(APN)プロバイダーの提供するソリューション、例えば、パロアルトネットワークスのCortex XSOARと連携することもできます。

※図は re:Invent 2020「SEC311 : Introducing AWS Network Firewall」から

最後に

AWS公式のAWS Network Firewallハンズオンは基本概念、ネットワーク構成、フィルタリングをわずか2時間で学べる実践的なハンズオンです。

サクッと体験してみましょう!

AWS Network Firewallハンズオンを始める