반응형
🔔 알림 모드(Alert Mode)란?
트래픽을 DROP하거나 REJECT하지 않고,
로그만 남기고 통과시키는 모드입니다.
즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,
실제로 트래픽은 차단하지 않습니다.
Alert Mode 활성화 시
- 룰 자체는 변경하지 않아도 되고,
- 방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면
- 위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함
🧠 어디서 설정하나요?
AWS 콘솔:
- Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹
- 룰 그룹 우측의 "편집" 클릭
- → Alert mode: 활성화
📂 로그에서는 어떻게 보일까?
action: "ALERT" 으로 로그에 남습니다:
{
"event": {
"action": "ALERT",
"rule_group": "ThreatSignaturesMalwareStrictOrder",
"rule_name": "ET MALWARE Known Bad IP",
"src_ip": "10.0.0.15",
"dest_ip": "198.51.100.10",
"protocol": "TCP",
"timestamp": "2025-03-23T12:00:00Z"
}
}✨ 언제 유용하냐면?
상황설명
| 신규 룰 도입 전 테스트 | 우선 탐지만 하고 영향 없는지 확인 |
| 운영 중 서비스 영향 최소화 | 차단 없이 이상 트래픽만 모니터링 |
| 정책 튜닝 중 | 실제 차단하기 전 탐지 정확도 체크 |
🧨 주의사항
- Alert Mode는 차단하지 않으므로, 보안 위협을 막지 못할 수 있습니다.
- 운영 중에는 정책 테스트 용도로만 사용하는 게 일반적이에요.
✅ 요약
항목설명
| Alert Mode 기능 | 트래픽 차단하지 않고 탐지만 함 |
| 적용 위치 | 방화벽 정책 전체 or 특정 룰 그룹 |
| 로그에 표시 | "action": "ALERT" |
| 활용 예 | 룰 테스트, 운영 영향 최소화 |
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| [AWS] WAF 룰그룹안에 세부 룰에서 Override to allow 될 경우 동작 (0) | 2025.04.02 |
|---|---|
| [AWS] WebACL를 적용할 수 있는 리소스 (0) | 2025.04.01 |
| [AWS] NFW(Network firewall) 흐름 플러시 구성 vs 흐름 캡처 구성 (0) | 2025.03.30 |
| [AWS] Network Firewall 기본 정책 관련 설명 (0) | 2025.03.28 |
| [AWS] Network Firewall stateful, statless 별 차단 형태 (0) | 2025.03.27 |