퍼블릭 클라우드 관련/AWS
[AWS] NFW(Network firewall) 흐름 플러시 구성 vs 흐름 캡처 구성
호레
2025. 3. 30. 14:04
반응형
🟢 1. 흐름 플러시 구성 (Flow Log Flush Configuration)
🔹 목적:
"로그를 얼마나 자주 전송할지" 설정하는 옵션
🔹 설명:
Network Firewall은 트래픽 흐름을 일정 시간 단위로 수집하고,
**그 주기(Flush Interval)**에 따라 CloudWatch Logs 또는 S3로 로그를 버퍼링해서 보냅니다.
🔹 주요 설정:
옵션설명
| Flush interval (초) | 로그를 얼마나 자주 "플러시"해서 로그 대상에 보낼지 설정 (기본 60초) |
📦 이건 성능과 비용에 영향을 줄 수 있어요.
자주 플러시하면 실시간에 가깝게 확인 가능하지만, 로그 양이 많아지고 비용이 증가할 수 있어요.
🟣 2. 흐름 캡처 구성 (Flow Log Capture Configuration)
🔹 목적:
"어떤 트래픽 흐름을 기록할 것인가?"에 대한 조건 설정
🔹 설명:
전체 트래픽 중에서 **특정 조건(예: TCP, 특정 포트, 특정 IP 등)**에 맞는 트래픽만 로그로 캡처하도록 설정할 수 있어요.
🔹 주요 조건 예시:
조건 항목설명
| Source IP / Destination IP | 특정 IP 트래픽만 캡처 |
| Protocol | TCP/UDP/ICMP 등 제한 |
| Port Range | 예: 22번 포트만 로그로 기록 |
| Action | ALLOW, DROP, REJECT 중 어떤 행동을 한 흐름만 로그로 남길지 |
📌 이건 로그 양을 줄이거나 특정 이벤트만 분석하고 싶을 때 사용합니다.
📊 비교 요약표
항목흐름 플러시 구성흐름 캡처 구성
| 목적 | 얼마나 자주 로그를 전송할지 | 어떤 흐름을 로그로 남길지 |
| 위치 | CloudWatch/S3 전송 설정 시 | 로그 필터링 조건 설정 |
| 기본값 | 60초 flush | 전체 흐름 캡처 (필터 없으면 전체 저장) |
| 영향을 주는 것 | 지연 시간, 실시간성, 비용 | 로그 양, 분석 대상 제한 |
✨ 실전 예시
- 실시간으로 이상 트래픽을 빨리 확인하고 싶다 → Flush Interval을 10초로 줄일 수 있음
- 로그 양이 너무 많아서 분석이 어렵다 → Capture 설정으로 DROP된 트래픽만 저장
- SSH 시도만 추적하고 싶다 → Capture에 포트 22 + TCP + DROP 조건 넣기
반응형