AWS Network Firewall とは？VPC の高度な L3-L7 防御

VPC 内のトラフィックに対する高度なファイアウォール。SG/NACL より詳細な制御が可能。

---

1. 概要（端的に）

AWS Network Firewall は VPC 内のトラフィックを監視・制御するマネージド ステートフル ファイアウォール。SG / NACL より詳細な制御（ドメイン名フィルタ・侵入検知・DPI）ができ、Suricata 互換のルールエンジンを搭載する。Egress 制御・規制対応・脅威検知に活用される。

---

2. 何ができるか

• L3-L7 のトラフィック検査：IP・ポート・プロトコル + DPI
• ドメインフィルタ：URL / FQDN ベースの許可・拒否
• IDS / IPS：Suricata ルール互換の侵入検知・防御
• TLS 検査：暗号化通信の中身も検査可能
• マネージドルールグループ：AWS 提供の脅威ルール
• マルチ VPC 対応：Firewall Manager で複数 VPC 一元管理

---

3. 特徴

観点	特徴
追加料金	エンドポイント時間課金 + データ処理料金
スループット	100 Gbps まで自動スケール
配置	サブネット単位（専用サブネット推奨）
冗長化	AZ 単位で自動冗長
ルール記述	Suricata 互換
マネージドルール	AWS / サードパーティ提供

vs SG / NACL / WAF

観点	Network Firewall	SG	NACL	WAF
レイヤー	L3-L7	L3-L4	L3-L4	L7（HTTP のみ）
状態	ステートフル	ステートフル	ステートレス	ステートフル
適用	VPC	リソース	サブネット	CloudFront/ALB/API GW
ドメインフィルタ	○	×	×	△
IDS/IPS	○	×	×	×
用途	高度な VPC 防御	リソース防御	サブネット境界	Web 攻撃対策

---

4. 仕組み

Network Firewall は VPC 内に専用サブネットを作成し、そこにファイアウォールエンドポイントを配置。トラフィックがこのエンドポイントを経由するようルートテーブルで制御する。

構成要素

• Firewall：論理ファイアウォール本体
• Firewall Policy：ルール集の定義
• Rule Group：ステートレス / ステートフル ルール群
• Endpoint：各 AZ に配置される ENI

ルール種別

• ステートレスルール：パケット単位で評価
• ステートフルルール：接続状態を考慮した評価
• マネージドルール：AWS 提供の脅威 IP リスト・OWASP ルール等

動作の流れ

1. VPC 内に専用サブネット作成
2. Firewall を専用サブネットに配置
3. ルートテーブル変更：
   • サブネット A のアウトバウンド → Firewall エンドポイント
   • Firewall → IGW
4. トラフィックが Firewall を経由
5. ルール評価で許可・拒否

Firewall Manager 連携

• AWS Organizations 全体で一元管理
• ルール統一・コンプライアンス監視

---

5. ユースケース

ユースケース 1：Egress（送信）制御

特定ドメイン以外への通信を遮断（情報漏洩対策）。

ユースケース 2：規制対応

PCI DSS / HIPAA 等で VPC 全体のトラフィック検査が必要なケース。

ユースケース 3：脅威防御

マネージドルールで C&C サーバー・既知マルウェアサイトをブロック。

ユースケース 4：マルチ VPC 統合保護

Firewall Manager + Network Firewall で全社 VPC を統一防御。

ユースケース 5：オンプレ FW の置き換え

オンプレで使っていた高度な FW を AWS マネージドに移行。

---

6. 関連用語

• VPC — Network Firewall の動作環境
• WAF — L7（HTTP のみ）の補完
• Shield — DDoS 防御
• GWLB — サードパーティ FW の透過挿入

---

7. 関連サイト

AWS 公式

• AWS Network Firewall
• Network Firewall 開発者ガイド

参考

• Classmethod：AWS Network Firewall カテゴリ

---

🎓 試験での出題傾向

試験	重要度	主な出題パターン
CLF	低	出題稀
SAA	中	高度な VPC 防御要件
DVA	低	出題ほぼなし
SOA	中	セキュリティ運用

---