[AWS] Network Firewall 기본 정책 관련 설명

🎯 먼저, Stateless vs Stateful 차이 요약

유형설명특징

Stateless (상태 비저장)	트래픽 패킷 각각을 독립적으로 처리	빠르지만 세션 정보 없음
Stateful (상태 저장)	세션을 추적하여 패킷의 흐름을 분석	더 정확하고 복잡한 정책 적용 가능

→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.

---

📘 "상태 비저장 기본 작업"이란?

이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.
즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다.

 

---

🧩 각 항목 설명

🔹 1. 전체 패킷 작업 (Default Action for Entire Packet)

"상태 비저장 규칙에 매칭되지 않은 일반 트래픽"을 어떻게 처리할지 결정

옵션:

• PASS: 허용
• DROP: 차단
• FORWARD_TO_STATEFUL_RULEGROUP: Stateful 룰로 넘김 (🔥 주로 이걸 많이 씁니다)

📌 추천: FORWARD_TO_STATEFUL_RULEGROUP
→ 대부분의 실제 방화벽에서는 기본적으로 상태 저장 룰을 사용해서 검사하므로 이걸로 넘기는 게 일반적입니다.

---

🔹 2. 조각화된 패킷에 대한 작업 (Fragmented Packets Action)

IP 조각화된 트래픽이 들어왔을 때 어떻게 처리할지 결정

옵션은 위와 동일:

• PASS, DROP, FORWARD_TO_STATEFUL_RULEGROUP

📌 추천: 마찬가지로 FORWARD_TO_STATEFUL_RULEGROUP

IP 조각화 트래픽은 공격자들이 방화벽 우회 시도에 자주 사용하는 방식이라서, 더 정밀하게 검사하려면 상태 저장으로 넘기는 게 좋습니다.

.

 

📌 왜 이게 중요하냐면?

• Default Action이 DROP으로 되어 있으면 → Stateless 룰에 걸리지 않은 모든 트래픽이 그냥 차단됨 → Stateful 룰 그룹에도 도달하지 못함 → 로그도 안 남음!
• Default Action이 FORWARD_TO_STATEFUL_RULEGROUP이면 → 정상적으로 Stateful에서 검사 및 로깅 가능

---

✅ 설정 예시 (좋은 구성)

항목설정

전체 패킷 작업	FORWARD_TO_STATEFUL_RULEGROUP
조각화된 패킷 작업	FORWARD_TO_STATEFUL_RULEGROUP

이렇게 설정하면 → Stateless 룰이 우선 필터하고 → 매칭 안 된 트래픽은 Stateful로 넘어가서 상세 검사 및 로깅이 가능합니다.

---

✨ 요약

• Stateless 룰에 안 걸리는 트래픽을 어떻게 처리할지 정하는 것이 "상태 비저장 기본 작업"
• 일반적으로 Stateful 룰로 넘기도록 설정(FORWARD_TO_STATEFUL_RULEGROUP) 해야 로그도 찍히고, 정상적인 보안 정책이 작동
• DROP으로 돼 있으면 → 모든 비매칭 트래픽이 그냥 버려져서 → 로그도 안 찍힐 수 있음