~~NOCACHE~~

## 30.トラフィック検査
トラフィックの検査はステート<color #22b14c>レス</color>エンジンで検査され、設定により転送されたステート<color #00a2e8>フル</color>エンジンで検査されます。

### 検査フロー図
{{:Aws:NetworkFirewall:pasted:20230616-141348.png?direct 600x0}}

###概要
ファイアウォールを通過するトラフィックを、ステート<color #22b14c>レス</color>エンジンとステート<color #00a2e8>フル</color>エンジンで検査します。
それぞれのエンジンでは、以下の形式でルールを指定可能になります。

・ステート<color #22b14c>レス</color>エンジン：5-tuple で設定
・ステート<color #00a2e8>フル</color>エンジン：5-tuple、Domain list、Suricata互換IPS、AWSマネージドルールで設定(組合せ可能)

### ルール形式
・5-tuple
　5 タプル形式を使用して、送信元 IP、送信元ポート、送信先 IP、送信先ポート、およびプロトコルを指定します。

・Domain list
　ドメイン名のリストと、送信元CIDRを指定します。

・Suricata互換IPS
　侵入防止システム (IPS) ルール - Suricata ルール構文で指定します。
　Suricata は、トラフィック検査用の標準ルールベースの言語を含むオープンソースネットワーク IPS です。

・AWSマネージドルール
参考：https://docs.aws.amazon.com/ja_jp/network-firewall/latest/developerguide/aws-managed-rule-groups-threat-signature.html


### IP セット参照
ステート<color #00a2e8>フル</color>エンジンの5-tuple及びSuricata互換IPSルールでは、送信元、送信先ともにIPとポートに
IPセット、ポートセットの他、タグベースのリソースグループの指定が可能です。
参考： https://docs.aws.amazon.com/ja_jp/network-firewall/latest/developerguide/rule-groups-ip-set-references.html

### ステートレスエンジンの特徴
■ルールグループ順序
関連付けたルールグループの優先度順に処理

■グループ内ルール順序
ルールグループ内のルールの優先度順に処理

※ルールに一致しない場合は、以下の設定が選択可能
・パス
・ドロップ
・ステートフルルールグループに転送

### ステートレスエンジンの特徴
■ルールグループ順序
関連付けたルールグループの優先度順に処理

■グループ内ルール順序
・デフォルト：優先度はパス ドロップ、リジェクト アラート順に処理
※ルールに一致しない場合は、暗黙的な許可

・厳格：ルールグループ内のルールの優先度順に処理
※ルールに一致しない場合は、暗黙的な拒否の設定が可能

{{tag>AWS NetworkFirewall}}