[AWS] NFW(Network Firewall) 알림모드 란?

🔔 알림 모드(Alert Mode)란?

트래픽을 DROP하거나 REJECT하지 않고,
로그만 남기고 통과시키는 모드입니다.

즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,
실제로 트래픽은 차단하지 않습니다.

 

Alert Mode 활성화 시

• 룰 자체는 변경하지 않아도 되고,
• 방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면
• 위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함

---

🧠 어디서 설정하나요?

AWS 콘솔:

• Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹
• 룰 그룹 우측의 "편집" 클릭
• → Alert mode: 활성화
•  

📂 로그에서는 어떻게 보일까?

action: "ALERT" 으로 로그에 남습니다:

{
  "event": {
    "action": "ALERT",
    "rule_group": "ThreatSignaturesMalwareStrictOrder",
    "rule_name": "ET MALWARE Known Bad IP",
    "src_ip": "10.0.0.15",
    "dest_ip": "198.51.100.10",
    "protocol": "TCP",
    "timestamp": "2025-03-23T12:00:00Z"
  }
}

✨ 언제 유용하냐면?

상황설명

신규 룰 도입 전 테스트	우선 탐지만 하고 영향 없는지 확인
운영 중 서비스 영향 최소화	차단 없이 이상 트래픽만 모니터링
정책 튜닝 중	실제 차단하기 전 탐지 정확도 체크

---

🧨 주의사항

• Alert Mode는 차단하지 않으므로, 보안 위협을 막지 못할 수 있습니다.
• 운영 중에는 정책 테스트 용도로만 사용하는 게 일반적이에요.

---

✅ 요약

항목설명

Alert Mode 기능	트래픽 차단하지 않고 탐지만 함
적용 위치	방화벽 정책 전체 or 특정 룰 그룹
로그에 표시	"action": "ALERT"
활용 예	룰 테스트, 운영 영향 최소화