AWS Network Firewall が東京リージョンにて 2021年3月より利用可能
本記事では NAT Gateway を経由して、インターネットへ外部通信する際に AWS NetWork Firewall を使用して、Web フィルタリングとして機能させるためのネットワーク構成を記載する
構成
構成は以下のイメージ
Network Firewall の作成
Firewall Endpoint とは、Network Firewall を作成する際に、対象の VPC 内の指定したサブネットに作成される検査用のエンドポイント。
この endpoint 上にルールグループを追加して、指定した通信を制御する仕組みとなる。ルールグループについては別記事にて記載。
サブネットに関する考慮事項
- Firewall Endopoint は対象の VPC 内であれば 異なるアベラビリティゾーンへ複数配置する事も可能。
- 本構成では Firewall Endpoint は NATGateway が配置されたサブネットとは別のサブネットを指定する必要がある。
- EC2 インスタンスからインターネット通信を行う際、Firewall Endpoint 上で検査を行う送信元IP は NAT Gateway の Private IP となる。
- Firewall Endopoint を VPC 内に作成したとしても同一 VPC に PublicSubnet や、Firewall Endopoint の透過対象としない Natgatewawy の配置も可能。
ルートテーブルに関する考慮事項
- 本構成におけるルートテーブルは、以下のように基本的に4つ必要となる。
- 1つはゲートウェイルートテーブルとして、インターネットゲートウェイを Edge の関連付けを行う。
- 基本的には Private Subnet > NAT Gateway Subnet > Firewall Endpoint > Internet Gateway の順番でルートの関連付けする。
ネットワーク構成はこのようにして作成を行う。
以下の記事にて NetWork Firewall のルールグループに関する記事を記載する。