AWS Network Firewall を使用して、VPC の境界でネットワークトラフィックをフィルタリングできます。Network Firewall は、ステートフルでマネージド型のネットワークファイアウォールならびに侵入検知および防止サービスです。詳細については、「AWS Network Firewall デベロッパーガイド」を参照してください。
次の AWS リソースを使用して Network Firewall を実装します。
| Network Firewall のリソース | 説明 |
|---|---|
| ファイアウォール | ファイアウォールは、ファイアウォールポリシーのネットワークトラフィックフィルタリング動作を、保護対象とする VPC に接続します。ファイアウォール設定には、ファイアウォールエンドポイントが配置されるアベイラビリティーゾーンおよびサブネットの仕様が含まれます。また、AWS ファイアウォールのリソースにおけるファイアウォールのログ設定やタグ付けなどの高レベルの設定も定義します。 詳細については、「AWS Network Firewall のファイアウォール」を参照してください。 |
| ファイアウォールポリシー | ファイアウォールポリシーは、ファイアウォールのモニタリングおよび保護動作を定義します。動作の詳細は、ポリシーに追加するルールグループ、および一部のポリシーのデフォルト設定で定義されます。ファイアウォールポリシーを使用するには、1 つ以上のファイアウォールに関連付けます。 詳細については、「AWS Network Firewall のファイアウォールポリシー」を参照してください。 |
| ルールグループ | ルールグループは、ネットワークトラフィックを検査および処理するための再利用可能な条件のセットです。ポリシー設定の一部として、ファイアウォールポリシーに 1 つ以上のルールグループを追加します。ステートレスルールグループを定義して、各ネットワークパケットを個別に検査できます。ステートレスルールグループは、Amazon VPC ネットワークアクセスコントロールリスト (ACL) と動作および使用態様が似ています。また、ステートフルルールグループを定義して、トラフィックフローのコンテキストでパケットを検査することもできます。ステートフルルールグループは、Amazon VPC セキュリティグループと動作と使用態様が似ています。 詳細については、「AWS Network Firewall のルールグループ」を参照してください。 |
AWS Firewall Managerを使用して、 AWS Organizationsのアカウントおよびアプリケーション全体で Network Firewall リソースを一元的に構成および管理することもできます。Firewall Manager で 1 つのアカウントを使用して、複数のアカウントのファイアウォールを管理できます。詳細については、AWS WAF、AWS Firewall Manager、AWS Shield Advanced デベロッパーガイドの「AWS Firewall Manager」を参照してください。
