翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 集中進入 AWS Network Firewall に を使用する
このアーキテクチャでは、残りの VPC に到達する AWS Network Firewall 前に、イングレストラフィックが によって検査されます。 VPCs この設定では、トラフィックは Edge VPC にデプロイされたすべてのファイアウォールエンドポイントに分割されます。ファイアウォールエンドポイントと Transit Gateway サブネットの間にパブリックサブネットをデプロイします。ALB または NLB を使用できます。これには、スポーク VPCsながら、スポーク VPC に IP ターゲットが含まれます。 Auto Scaling
![\[AWS Network Firewall を使用した進入トラフィック検査を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)
このモデル AWS Network Firewall での のデプロイと管理を簡素化するために、 AWS Firewall Manager を使用できます。Firewall Manager を使用すると、一元化された場所で作成した保護を複数のアカウントに自動的に適用することで、さまざまなファイアウォールを一元管理できます。Firewall Manager は、Network Firewall の分散デプロイモデルと集中デプロイモデルの両方をサポートしています。ブログ記事[「 AWS Network Firewall を使用してデプロイする方法 AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/)」には、モデルの詳細が記載されています。
## を使用したディープパケットインスペクション (DPI) AWS Network Firewall
Network Firewall は、イングレストラフィックに対してディープパケットインスペクション (DPI) を実行できます。Network Firewall は、 AWS Certificate Manager (ACM) に保存されている Transport Layer Security (TLS) 証明書を使用して、パケットの復号、DPI の実行、パケットの再暗号化を行うことができます。Network Firewall で DPI を設定する際の考慮事項がいくつかあります。まず、信頼できる TLS 証明書を ACM に保存する必要があります。次に、復号化と再暗号化のためにパケットを正しく送信するように Network Firewall ルールを設定する必要があります。詳細については、ブログ記事「暗号化[されたトラフィックの TLS 検査設定」および AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/)「」を参照してください。
## 一元化された進入アーキテクチャ AWS Network Firewall における の主な考慮事項
+ Edge VPC の Elastic Load Balancing は、IP アドレスをホスト名ではなくターゲットタイプとしてのみ持つことができます。前の図では、ターゲットはスポーク VPC の Network Load Balancer のプライベート IPs です。 VPCs エッジ VPC で ELB の背後にある IP ターゲットを使用すると、Auto Scaling が失われます。
+ ファイアウォールエンドポイントに を 1 つの時間枠 AWS Firewall Manager として使用することを検討してください。
+ このデプロイモデルは、エッジ VPC に入ると同時にトラフィック検査を使用するため、検査アーキテクチャの全体的なコストを削減できる可能性があります。