[AWS] Network Firewall stateful, statless 별 차단 형태

상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?

🎯 요점 먼저:

✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,
🔻 기본적으로 DROP 처리됩니다.

---

🔄 흐름 다시 정리

1. Stateless 룰 그룹 ❌ 없음

→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감

2. Stateful로 넘어간 트래픽

→ 룰 그룹에 매칭 시도

• ✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨
• ❌ 매칭 안됨 → 기본 동작: DROP 처리

---

🔒 이유: Stateful은 Default ALLOW가 아님

Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 방식입니다.
즉:

• 🔐 Explicit Allow 방식
• → 매칭되는 ALLOW 룰이 없으면 트래픽은 기본적으로 DROP 처리

 

 

💡 그래서 실전에서 어떻게 구성할까?

전략                                                                              설명

Stateless는 최소한으로 사용	트래픽 선필터링에만 쓰고, 광범위 PASS는 피함
Stateless 룰 없애면?	OK — 트래픽은 Stateful로 잘 넘어감
Stateful에서는 ALLOW 룰을 명확하게 써야 함	안 쓰면 전부 DROP됨
로그 찍으려면?	ALLOW 룰에 log 동작 추가하거나, aws:alert_strict 사용 가능