반응형
"Override to ALLOW로 룰이 통과되었을 때, 그 아래 룰들은 계속 검사되는가?"
✅ 답: "룰 평가가 계속됩니다"
Override to ALLOW는 해당 룰에서 차단(BLOCK, CAPTCHA 등)을 무시하고 허용한다는 의미일 뿐,
WAF 전체 평가 체인의 종료를 의미하지는 않습니다.
즉:
- 그 룰은 통과되지만
- 아래에 있는 다른 룰들도 계속 검사됩니다
- 만약 아래 룰 중 BLOCK이 걸리면 → 해당 룰에서 차단될 수 있어요
🔁 WAF 룰 평가 순서 간단 요약
- WAF는 룰 순서대로 평가합니다 (WebACL에서 위에서 아래로).
- 처음으로 BLOCK/CAPTCHA/CHALLENGE 되는 룰에서 평가가 멈춤 → 이 룰이 "terminating rule"이 됨.
- ALLOW 또는 COUNT만 있을 경우 → 평가를 끝까지 모두 수행.
- Override to ALLOW는 그 룰 자체만 ALLOW 처리 → 평가 계속 진행됨.
🧩 예시
Web ACL 설정 (순서 기준)
- 룰 A (Override to ALLOW)
- 룰 B (BLOCK 조건 있음)
- 룰 C (CAPTCHA)
요청 흐름:
- 요청이 룰 A에 매치됨 → Override to ALLOW → 통과
- → 룰 B까지 계속 검사 → 매치됨 → BLOCK
- → 평가 종료 → terminatingRule은 룰 B로 기록됨
🔍 WAF 로그에서 확인 포인트
- terminatingRuleId: → 룰 B의 ID가 기록됨 (실제 차단 룰)
- nonTerminatingMatchingRules: 룰 A가 여기에 기록될 수도 있음 (ALLOW/COUNT이면)
- 룰 A가 Override to ALLOW이더라도, 그 자체는 action: ALLOW, 평가 chain은 계속됨
✅ 요약
상황평가 계속?설명
| 룰이 Override to ALLOW | ✅ 계속 | ALLOW 처리만, 평가 중단 아님 |
| 룰이 BLOCK (override 아님) | ❌ 중단됨 | 첫 BLOCK에서 종료 |
| 룰이 COUNT | ✅ 계속 | 로깅만 하고 계속 진행 |
| 룰이 CAPTCHA/CHALLENGE | ❌ 중단됨 | 첫 CHALLENGE에서 종료 |
💡 즉, Override to ALLOW는 “이 룰에서만 ALLOW하되, 다른 룰까지 평가하세요” 라는 의미입니다.
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| [AWS] GuardDuty 테스트를 위한 샘플 생성 방법 (0) | 2025.04.04 |
|---|---|
| [AWS] WAF 룰 그룹 내에 override 동작 정리 (0) | 2025.04.03 |
| [AWS] WebACL를 적용할 수 있는 리소스 (0) | 2025.04.01 |
| [AWS] NFW(Network Firewall) 알림모드 란? (0) | 2025.03.31 |
| [AWS] NFW(Network firewall) 흐름 플러시 구성 vs 흐름 캡처 구성 (0) | 2025.03.30 |