반응형
🎯 요점 먼저:
✅ "Stateless 룰에서 명시적으로 PASS 처리되면, 해당 트래픽은 Stateful로 넘어가지 않습니다.**
🔄 흐름 다시 보기
트래픽은 다음 순서로 처리됩니다:
- Stateless 규칙 그룹에 매칭 시도
- 매칭되면 → 룰에 정의된 대로 처리 (PASS or DROP)
- 매칭되지 않으면 → "상태 비저장 기본 작업(Default Action)"에 따라 처리
✅ 예시로 이해해보기
예시 1: Stateless 룰에서 0.0.0.0/0 → PASS 설정
Stateless 룰 그룹:
- Source: 0.0.0.0/0
- Destination: 0.0.0.0/0
- Action: PASS이 경우 모든 트래픽이 Stateless에서 PASS 처리되므로,
→ Stateful로 안 넘어감
→ 따라서 Stateful 룰도 적용 안 되고, 로그도 안 남음
예시 2: Stateless 룰이 없고, Default Action만 FORWARD_TO_STATEFUL_RULEGROUP
Stateless 룰 그룹: 없음
Default action:
- Entire packets → FORWARD_TO_STATEFUL_RULEGROUP
- Fragmented packets → FORWARD_TO_STATEFUL_RULEGROUP→ 이 경우 모든 트래픽은 Stateful로 넘어가서 검사됨
→ 여기서 룰에 따라 ALLOW, DROP, ALERT, LOG 등이 발생
🔥 결론
| Stateless 룰에서 PASS 처리되면? | ❌ Stateful로 넘어가지 않음 | | Stateless 룰에서 DROP 처리되면? | ❌ Stateful로 넘어가지 않음 | | Stateless 룰에 매칭되지 않고 Default Action이 FORWARD_TO_STATEFUL_RULEGROUP이면? | ✅ Stateful로 넘어감 |
✅ 실전 팁
- Stateless 룰에서 너무 광범위하게 PASS 설정 (ex: 0.0.0.0/0) 하면
→ 트래픽이 Stateful을 아예 건너뛰게 되어 NFW의 보안/로깅 기능이 무력화됩니다.
🔐 정말 필요한 경우가 아니면 Stateless에서 wide-open PASS 설정은 지양해야 합니다!
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| [AWS] Network Firewall 기본 정책 관련 설명 (0) | 2025.03.28 |
|---|---|
| [AWS] Network Firewall stateful, statless 별 차단 형태 (0) | 2025.03.27 |
| AWS Transit Gateway 라우팅 테이블에서 '블랙홀(Blackhole)' 상태란? (0) | 2025.03.25 |
| AWS에서 물리 서버로 데이터 전송 비용 vs AWS 내부 데이터 전송 비용 비교 (0) | 2025.03.24 |
| AWS Security Lake 장점과 단점 (0) | 2025.03.19 |