@shinyaz

Network Firewall Proxy は HTTP でも PreRequest フェーズのルールが効く

約1分
#aws#network-firewall#networking#security

Network Firewall Proxy のドキュメントに「Without TLS decryption, you can only filter based on IP in the pre-request phase」とある。これを読んで、TLS インターセプトなしでは HTTP メソッドのフィルタリングは一切できないと思っていた。

実際に試すと、HTTP(非 TLS)の POST リクエストは TLS インターセプトなしでもブロックされた

Output
curl -X POST http://httpbin.org/post  → 403
curl -X POST https://httpbin.org/post → 403(TLS インターセプト有効時)

理由は、HTTP の場合クライアントが absolute-form(GET http://example.com/ HTTP/1.1)でリクエストを送信するため、プロキシがリクエスト内容を直接検査できるから。ドキュメントの記述は HTTPS に限定した話で、HTTP には当てはまらない。

詳細は Network Firewall Proxy 検証 — ACM PCA で TLS インターセプトを有効化する を参照。

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援を行っています。クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る