1. re:Invent 2019でネットワークサービス
の拡張があったけど、基本をおさえて
「3rd Partyセキュリティゲートウェイ
でハマらないようにするシリーズ」
NW-JAWS x Tech-on 勉強会#1
#NW_JAWS #TechOn東京

2. ⾃⼰紹介
⽒名：⼭⼝ 正徳(フォージビジョン株式会社)
- AWS認定 SA Pro、Security、Networking
- PMP、認定スクラムマスター
- CISSP
2019 APN AWS Top Engineers
Fin-JAWS 、JAWS-UG千葉 運営
JAWS DAYS 2020 実⾏委員
好きなAWSサービス：
AWS Lambda
AWS Config

3. https://aws.amazon.com/jp/blogs/news/reinvent-2019-midnight-madness-aws-deepcomposer/
Amazon Web Services ブログ re:Invent 2019 Midnight Madness / AWS DeepComposer
AWS公式ブログデビューしました
コレ
マヨネーズ

4. AWS公式ブログデビューしました
(タトンカチャレンジという⾟いチキンの⼤⾷いイベント＠re:Invent 2019へ)

5. 今⽇はJAWS-UG千葉を代表してLTします。
https://weekly.ascii.jp/elem/000/000/437/437173/
3年ぶりリブートのJAWS-UG千葉でスペシャリスト談義に華が咲く

6. 3rd Partyセキュリティゲートウェイ
でハマらないようにする
シリーズ

7. 今回は 、
PaloAlto VM-Series NG
+
NAT構成

8. VPC
Public subnet
Private subnet
Private subnet
ソフトウェア
ルータ
DC① DC②
インターネット
172.30.10.0/24
172.30.11.0/24
172.30.12.0/24
EIP:52.198.xxx.AAA EIP:52.198.xxx.BBB EIP:52.198.xxx.CCC
.100
.150
.5.6.7

9. 1. 各サーバからの通信はソフトウェアルータで
NAT(カプセル化)されDC①とオーバーレイ
通信が⾏われる
2. DC2への通信は52.198.xxx.BBBのIPにて
双⽅向NATを⾏う
3. インターネットへの通信はIPマスカレード
(NAPT)する
NAT要件通信要件１
通信要件２
通信要件３

11. DC2
間違った設定
52.198.xxx.AAA
52.198.xxx.AAA
52.198.xxx.BBB
To_DC2
通信要件１
通信要件１
通信要件２
通信要件１ 通信要件２

12. Elastic IPはNATとして動くのでイン
スタンスに到達するIPはENIに付与
されているIPアドレス
その為、Elastic IPでルールや
NATを設定すると意図するルールに
マッチせずフィルタが動作不全となる
AWS慣れしている⼈であれば常識の範囲
かも知れませんが、NW知識が多少あり、
AWSになれていない⼈は注意が必要
設定間違いの理由

13. DC2
正しい設定
通信要件１
通信要件１
通信要件２
To_DC2
通信要件１ 通信要件２

14. https://www.paloaltonetworks.jp/resources/whitepapers/aws_reference_architecture
PaloAlto AWS リファレンス アーキテクチャ ガイド
公式にも記載あり
他にもセカンダリアドレスを付与する際など、注意が必要な点がいくつかあります

15. 宣伝

16. 3⽉2⽇にJAWS-UG さいたま & 千葉 合同イベントを開催します
さ
い
た
ま
と
千
葉
が
贈
る
A
W
S
史
上
最
⼤
の
茶
番
劇
埼⽟県⺠のDeep Composer
にはそこらへんのMidiでも
⾷わせておけ
これは・・・埼⽟特有の通信
サイタマルチキャスト
みんなでさいたま・千葉を応援しよう！
３⽉２⽇開催！
https://jawsug-chiba.doorkeeper.jp/events/103604

17. 3/14(⼟) JAWS DAYS 2020 開催！ 参加申し込み受付中！
JAWSDAYS 2020 で検索