반응형
상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?
🎯 요점 먼저:
✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,
🔻 기본적으로 DROP 처리됩니다.
🔄 흐름 다시 정리
1. Stateless 룰 그룹 ❌ 없음
→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감
2. Stateful로 넘어간 트래픽
→ 룰 그룹에 매칭 시도
- ✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨
- ❌ 매칭 안됨 → 기본 동작: DROP 처리
🔒 이유: Stateful은 Default ALLOW가 아님
Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 방식입니다.
즉:
- 🔐 Explicit Allow 방식
- → 매칭되는 ALLOW 룰이 없으면 트래픽은 기본적으로 DROP 처리
💡 그래서 실전에서 어떻게 구성할까?
전략 설명
| Stateless는 최소한으로 사용 | 트래픽 선필터링에만 쓰고, 광범위 PASS는 피함 |
| Stateless 룰 없애면? | OK — 트래픽은 Stateful로 잘 넘어감 |
| Stateful에서는 ALLOW 룰을 명확하게 써야 함 | 안 쓰면 전부 DROP됨 |
| 로그 찍으려면? | ALLOW 룰에 log 동작 추가하거나, aws:alert_strict 사용 가능 |
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| [AWS] NFW(Network firewall) 흐름 플러시 구성 vs 흐름 캡처 구성 (0) | 2025.03.30 |
|---|---|
| [AWS] Network Firewall 기본 정책 관련 설명 (0) | 2025.03.28 |
| [AWS] NFW(network firewall) 상태 비저장(Stateless) 규칙 그룹에서 0.0.0.0 통과를 설정할 경우 stateful로 안넘어갈까? (0) | 2025.03.26 |
| AWS Transit Gateway 라우팅 테이블에서 '블랙홀(Blackhole)' 상태란? (0) | 2025.03.25 |
| AWS에서 물리 서버로 데이터 전송 비용 vs AWS 내부 데이터 전송 비용 비교 (0) | 2025.03.24 |