반응형
🎯 먼저, Stateless vs Stateful 차이 요약
유형설명특징
| Stateless (상태 비저장) | 트래픽 패킷 각각을 독립적으로 처리 | 빠르지만 세션 정보 없음 |
| Stateful (상태 저장) | 세션을 추적하여 패킷의 흐름을 분석 | 더 정확하고 복잡한 정책 적용 가능 |
→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.
📘 "상태 비저장 기본 작업"이란?
이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.
즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다.
🧩 각 항목 설명
🔹 1. 전체 패킷 작업 (Default Action for Entire Packet)
"상태 비저장 규칙에 매칭되지 않은 일반 트래픽"을 어떻게 처리할지 결정
옵션:
- PASS: 허용
- DROP: 차단
- FORWARD_TO_STATEFUL_RULEGROUP: Stateful 룰로 넘김 (🔥 주로 이걸 많이 씁니다)
📌 추천: FORWARD_TO_STATEFUL_RULEGROUP
→ 대부분의 실제 방화벽에서는 기본적으로 상태 저장 룰을 사용해서 검사하므로 이걸로 넘기는 게 일반적입니다.
🔹 2. 조각화된 패킷에 대한 작업 (Fragmented Packets Action)
IP 조각화된 트래픽이 들어왔을 때 어떻게 처리할지 결정
옵션은 위와 동일:
- PASS, DROP, FORWARD_TO_STATEFUL_RULEGROUP
📌 추천: 마찬가지로 FORWARD_TO_STATEFUL_RULEGROUP
IP 조각화 트래픽은 공격자들이 방화벽 우회 시도에 자주 사용하는 방식이라서, 더 정밀하게 검사하려면 상태 저장으로 넘기는 게 좋습니다.
.
📌 왜 이게 중요하냐면?
- Default Action이 DROP으로 되어 있으면 → Stateless 룰에 걸리지 않은 모든 트래픽이 그냥 차단됨 → Stateful 룰 그룹에도 도달하지 못함 → 로그도 안 남음!
- Default Action이 FORWARD_TO_STATEFUL_RULEGROUP이면 → 정상적으로 Stateful에서 검사 및 로깅 가능
✅ 설정 예시 (좋은 구성)
항목설정
| 전체 패킷 작업 | FORWARD_TO_STATEFUL_RULEGROUP |
| 조각화된 패킷 작업 | FORWARD_TO_STATEFUL_RULEGROUP |
이렇게 설정하면 → Stateless 룰이 우선 필터하고 → 매칭 안 된 트래픽은 Stateful로 넘어가서 상세 검사 및 로깅이 가능합니다.
✨ 요약
- Stateless 룰에 안 걸리는 트래픽을 어떻게 처리할지 정하는 것이 "상태 비저장 기본 작업"
- 일반적으로 Stateful 룰로 넘기도록 설정(FORWARD_TO_STATEFUL_RULEGROUP) 해야 로그도 찍히고, 정상적인 보안 정책이 작동
- DROP으로 돼 있으면 → 모든 비매칭 트래픽이 그냥 버려져서 → 로그도 안 찍힐 수 있음
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| [AWS] NFW(Network Firewall) 알림모드 란? (0) | 2025.03.31 |
|---|---|
| [AWS] NFW(Network firewall) 흐름 플러시 구성 vs 흐름 캡처 구성 (0) | 2025.03.30 |
| [AWS] Network Firewall stateful, statless 별 차단 형태 (0) | 2025.03.27 |
| [AWS] NFW(network firewall) 상태 비저장(Stateless) 규칙 그룹에서 0.0.0.0 통과를 설정할 경우 stateful로 안넘어갈까? (0) | 2025.03.26 |
| AWS Transit Gateway 라우팅 테이블에서 '블랙홀(Blackhole)' 상태란? (0) | 2025.03.25 |