ラボの概要
ネットワークエンジニアとしてのロールには、ネットワークのモニタリングとトラブルシューティングが含まれています。つまり、ネットワーク内のトラフィックフローを理解し、トラフィックの送信元を特定し、不正なアクセスの試みが確実に失敗するようにすることができるようにする必要があります。このラボでは、AWS Network Firewall の主要な概念を説明します。このラボでプロビジョニング済みのリソースを使用して AWS Network Firewall でアウトバウンドウェブトラフィックをフィルタリングする方法も説明します。Amazon Route 53 DNS Firewall を使用して特定のドメインをブロックし、VPC に適用する方法を学習します。次に Network Firewall エンジンを使用してトラフィックを検査し、ステートレスルールグループおよびステートフルルールグループを設定して AWS ワークロードへの脅威を軽減します。CloudWatch ロググループをセットアップしてネットワークをモニタリングし、異常を検出します。また CloudWatch に表示された検出結果に基づき、疑いのある脅威を調査、軽減します。
目標
本ラボを修了すると、次のことができるようになります。
- アウトバウンドウェブトラフィックをフィルタリングする Network Firewall のルールグループを使用して AWS Network Firewall を設定する。
- カスタムドメインリストを使用して DNS Firewall ドメインリスト、ルールグループ、ルールを作成する。
- Route 53 DNS Firewall を使用して DNS トラフィックをフィルタリングし、保護する。
- CloudWatch ロググループを使用してクエリをフィルタリングし、潜在的な脅威を監査、特定する。
- AWS Network Firewall 内に、Suricata 互換侵入防止システム (IPS) のルール仕様に従うステートフルなルールグループを設定する。
- ステートフルファイアウォールルールおよびステートレスファイアウォールルールを適用して、疑わしいネットワークトラフィックを検出する。
- ファイアウォールポリシーと AWS Network Firewall のモニタリングを設定して、疑わしいネットワークアクティビティを探す。
- モニタリングとセキュリティアラートの調査から特定した悪意のあるアクティビティを停止させる。
技術知識の前提条件
ルーティングおよび DNS に精通していることが推奨されます。また、Linux 環境の Command Line Interface (CLI) での作業に慣れている方が望ましいです。
前提条件
このラボには以下が必要です。
- Microsoft Windows、Mac OS X、Linux (Ubuntu、SuSE、Red Hat) 搭載のコンピュータを使用できること。
- Chrome や Firefox などインターネットブラウザの最新版があること。
所要時間
このラボの所要時間は約 90 分です。
アイコンキー
このラボでは、ガイドの特定の部分への注意を促すため、さまざまなアイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- コマンド: 実行する必要があるコマンドを表す。
- コピー編集: 特定の変数を編集する際に、コマンドラインまたはターミナルで直接編集するよりも、コマンド、スクリプト、その他のテキストをテキストエディタにコピーする方が簡単な場合に使用する。
- 追加情報: 特記事項または重要な情報を示す。
- 注意: 注意のアイコンには、重要なヒント、コツ、ガイダンス、アドバイスが示される。
- 勧告: 特記事項または重要な情報への注意を促す。勧告を読み忘れてもサービスが停止したり、データが失われたりすることはないものの、特定のステップを再度行わなければならない場合がある。
- 想定される出力: 出力のサンプルであり、コマンドまたは編集済みファイルの出力を確認するときに使用する。
- まとめ: ラボのまとめや要点を示す。
