AWS WAF ACL의 평가 흐름

✅ AWS WAF에서 Count 모드가 적용될 경우, 평가 흐름은 어떻게 진행되는가?

결론: "Count" 모드는 매칭된 요청을 기록만 하고, 차단(Block) 또는 허용(Allow)하지 않으며, 다음 규칙으로 평가가 계속 진행된다. 즉, "Count"는 단순히 로그를 남기는 역할이고, 차단이나 허용을 결정하지 않는다.

---

🔹 1. AWS WAF ACL의 평가 흐름

AWS WAF는 규칙을 위에서 아래로 차례로 평가하며, 가장 먼저 매칭되는 Allow 또는 Block 규칙이 적용됩니다.

규칙(Action)동작 방식

Allow	즉시 허용 (더 이상 다른 규칙 평가 안 함)
Block	즉시 차단 (더 이상 다른 규칙 평가 안 함)
Count	매칭된 요청을 기록하지만 평가를 계속 진행
Default Action (Allow/Deny)	모든 규칙을 통과한 요청에 대해 최종 처리

---

🔹 2. Count 모드의 실제 동작

현재 설정에서:

1️⃣ "BlockNonKorea Count" 규칙이 Count 모드로 설정됨
2️⃣ Default Action이 Deny로 설정됨

이 경우, "BlockNonKorea Count"에 매칭되는 요청은 Count만 하고 다음 규칙(Default Action)으로 내려감.
즉, 한국 이외의 IP는 Count되지만, 결국 Default Action(Deny)에 의해 차단됨.

---

🔹 3. 시뮬레이션 (현재 설정 기준)

요청한 IP"BlockNonKorea Count" 규칙과 매칭?Count 후 차단됨?Default Action 적용됨?최종 결과

한국(KR) IP	❌ 매칭되지 않음	-	✅ Default Deny 적용	❌ 차단(Block)
미국(US) IP	✅ 규칙과 매칭됨 (Count 모드)	❌ Count만 기록됨	✅ Default Deny 적용	❌ 차단(Block)
일본(JP) IP	✅ 규칙과 매칭됨 (Count 모드)	❌ Count만 기록됨	✅ Default Deny 적용	❌ 차단(Block)

✔ 결론:
👉 "Count"는 기록만 남기고 차단하거나 허용하지 않음
👉 Default Action까지 내려가므로, 결국 한국 이외의 IP도 차단됨

---

🔹 4. 해결 방법 (Allow 한국 IP 추가)

현재 WAF 설정에서 한국 IP만 허용하려면, Allow 규칙을 추가해야 함.

✔ 수정 후 규칙 순서

순서규칙 이름액션 (Action)설명

1️⃣	Allow Korea	Allow	한국(KR) IP를 허용 (이 규칙에 매칭되면 평가 종료)
2️⃣	BlockNonKorea Count	Count	한국이 아닌 IP를 기록하지만 차단하지 않음
3️⃣	Default Action	Deny	Allow되지 않은 모든 요청 차단

---

🚀 Allow Korea 규칙 추가 후 동작 시뮬레이션

요청한 IP"Allow Korea" 규칙과 매칭?"BlockNonKorea Count" 규칙과 매칭?Default Action 적용?최종 결과

한국(KR) IP	✅ 매칭됨 (Allow)	-	❌ Default Deny 적용 안 됨	✅ 허용 (Allow)
미국(US) IP	❌ 매칭 안 됨	✅ Count 모드	✅ Default Deny 적용	❌ 차단(Block)
일본(JP) IP	❌ 매칭 안 됨	✅ Count 모드	✅ Default Deny 적용	❌ 차단(Block)

---

🚀 5. 최종 결론

✔ "Count"는 단순히 요청을 기록(log)할 뿐, 차단(Block) 또는 허용(Allow)하지 않음
✔ Count 규칙이 적용되더라도, Default Action까지 평가가 계속 진행됨
✔ Allow 규칙이 없으면 Default Action이 적용되어 모든 요청이 차단됨
✔ 한국 IP만 허용하려면 Allow 규칙을 추가해야 함 🚀

👉 즉, Count는 단순 기록 역할만 하고, 이후 Default Action까지 내려가게 된다.