目次

30.トラフィック検査

トラフィックの検査はステートレスエンジンで検査され、設定により転送されたステートフルエンジンで検査されます。

検査フロー図

概要

ファイアウォールを通過するトラフィックを、ステートレスエンジンとステートフルエンジンで検査します。
それぞれのエンジンでは、以下の形式でルールを指定可能になります。

・ステートレスエンジン:5-tuple で設定
・ステートフルエンジン:5-tuple、Domain list、Suricata互換IPS、AWSマネージドルールで設定(組合せ可能)

ルール形式

・5-tuple
 5 タプル形式を使用して、送信元 IP、送信元ポート、送信先 IP、送信先ポート、およびプロトコルを指定します。

・Domain list
 ドメイン名のリストと、送信元CIDRを指定します。

・Suricata互換IPS
 侵入防止システム (IPS) ルール - Suricata ルール構文で指定します。
 Suricata は、トラフィック検査用の標準ルールベースの言語を含むオープンソースネットワーク IPS です。

・AWSマネージドルール
参考:https://docs.aws.amazon.com/ja_jp/network-firewall/latest/developerguide/aws-managed-rule-groups-threat-signature.html

IP セット参照

ステートフルエンジンの5-tuple及びSuricata互換IPSルールでは、送信元、送信先ともにIPとポートに
IPセット、ポートセットの他、タグベースのリソースグループの指定が可能です。
参考: https://docs.aws.amazon.com/ja_jp/network-firewall/latest/developerguide/rule-groups-ip-set-references.html

ステートレスエンジンの特徴

■ルールグループ順序
関連付けたルールグループの優先度順に処理

■グループ内ルール順序
ルールグループ内のルールの優先度順に処理

※ルールに一致しない場合は、以下の設定が選択可能
・パス
・ドロップ
・ステートフルルールグループに転送

ステートレスエンジンの特徴

■ルールグループ順序
関連付けたルールグループの優先度順に処理

■グループ内ルール順序
・デフォルト:優先度はパス ドロップ、リジェクト アラート順に処理
※ルールに一致しない場合は、暗黙的な許可

・厳格:ルールグループ内のルールの優先度順に処理
※ルールに一致しない場合は、暗黙的な拒否の設定が可能