![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-08-18T02:58:28+00:00","default:admin","admin") #author("2022-08-18T02:59:36+00:00","default:admin","admin") *[[Amazon Virtual Private Cloud (Amazon VPC):https://aws.amazon.com/jp/vpc/]] [#o173a0c2] -[[AWS再入門2022 Amazon VPC編:https://dev.classmethod.jp/articles/re-introduction-2022-vpc/]] -[[【AWS入門③】VPCの構築~基礎知識を詰め込もう~:https://zenn.dev/rsk_for_dev/articles/001306058f3c58]] *ファイアウォール [#cd1d62e6] -[[セキュリティグループ vs ネットワークACL:https://ex-ture.com/blog/2021/07/14/securitygroup-and-networkacl/]] **Security Group [#r0d71658] -[[AWS運用 セキュリティグループってどういうグループ?:https://aws.taf-jp.com/blog/57620]] -無料で利用可 -インスタンス単位で設定するファイアウォール機能 ***defaultの通信設定 [#kcdd9d93] -インバウンド :すべて拒否 -アウトバウンド:すべて許可 -セキュリティグループは定義した通信のみを許可する「ホワイトリスト形式」 -Linux での iptables に近いイメージ ***管理 [#jbcd88e6] -[[「このセキュリティグループ使ってるんだっけ…?」に即座に答える AWS Config ルールのご紹介:https://dev.classmethod.jp/articles/ec2-security-group-attached-to-eni/]] **Network ACL [#aeaeb6bf] -無料で利用可 -サブネット単位で全インスタンスに適用するファイアウォール機能 -ファイアウォール機器に該当するのはこれ ***defaultの通信設定 [#x1c7c02f] -インバウンド :すべて許可 -アウトバウンド:すべて許可 -ネットワークACLは定義した通信のみを拒否する「ブラックリスト形式」 **AWS Network Firewall [#j9d799f1] -有料のサービス -スケーラブルでマネージド -ステートレスなパケットフィルタリング (プロトコル、送信元IP/ポート、送信先IP/ポート)=行きも戻りも許可が必要 -ステートフルなパケットフィルタリング (プロトコル、送信元IP/ポート、送信先IP/ポート) -ドメインリストを基にしたHTTP/HTTPSのアクセス制御 -オープンソースの IPS 「Suricata」 互換のルールでの制御 **Route 53 Resolver DNS Firewall [#rd346d87] -有料のサービス -VPCのアウトバウンドDNSクエリをDNS Firewallのルールグループを使用してDNSクエリをフィルタリングできます。 -ルールグループはカスタムすることも出来るし、AWSマネージドなリストを使うことも可能です。 -EC2でSquidを利用したプロキシサーバを構築する方法もありますが、特定の宛先だけしか通信させたく無いようなVPCを作成したい時に非常に効果的と思います。
