중앙 집중식 네트워크 방화벽

방화벽 VPC AWS Network Firewall 에 배포합니다. 이 VPC는 소스에서 대상으로 이동하는 트래픽과 인터넷에서 들어오는 트래픽을 검사하는 방화벽을 호스팅하여 중요한 역할을 합니다.

방화벽 규칙 그룹

방화벽 VPC에서 인터넷으로, 인터넷에서 VPC로 흐르는 트래픽을 모니터링하고 관리하기 AWS Managed Rules 위해 사용자 지정 규칙을 정의하거나 기존를 사용합니다. 요구 사항에 따라 상태 저장 또는 상태 비저장 규칙을 생성합니다.

• 상태 저장 규칙 - 패킷을 검사할 때 패킷과 관련된 트래픽 흐름 방향 및 기타 트래픽 승인이 고려됩니다.

  이 규칙 그룹은 Suricata 호환 침입 방지 시스템(IPS) 요구 사항을 준수합니다. 자세한 내용은 Network Firewall 설명서를 참조하세요.

  Network Firewall은 도메인 트래픽 필터링도 지원합니다. 나열된 특정 도메인에 대한 트래픽은 트래픽 흐름을 제어하기 위해 표준 네트워크 속성을 기반으로 정의된 규칙을 사용하여 모니터링됩니다.

• 상태 비저장 규칙 - Network Firewall의 상태 비저장 규칙 엔진은 상태 비저장 규칙 그룹에 대해 각 패킷을 개별적으로 분석합니다. 네트워크용 방화벽은 트래픽 방향 또는 기타 관련 패킷과 같은 컨텍스트를 고려하지 않습니다.

• AWS Managed Rules 규칙 그룹 - Network Firewall을 사용하면 AWS Managed Rules 규칙 그룹에 액세스할 수 있습니다. 이러한 사용 가능한 사전 설정 규칙 모음은 up-to-date 보안을 유지합니다.는 발견된 새로운 취약성 또는 위협을 기반으로 규칙 그룹을 AWS 업데이트합니다.

방화벽 정책

방화벽 정책에 연결하는 규칙에 따라 방화벽의 모니터링 및 보호 동작을 정의하는 방화벽 정책을 생성합니다. 이러한 규칙은에서 제공하는 관리형 규칙 AWS 또는 사용자가 생성한 사용자 지정 상태 저장 또는 상태 비저장 규칙일 수 있습니다.

방화벽

방화벽 VPC에서 정의한 방화벽 정책을 사용하여 방화벽을 생성합니다. 방화벽 전용 서브넷 3개(전송 게이트웨이 서브넷 아님)를 선택합니다. 방화벽이 생성된 후 Network Firewall에서 생성한 VPC 엔드포인트를 기록해 둡니다.

이러한 엔드포인트로 트래픽을 라우팅0.0.0.0/0하도록의 방화벽 VPC 전송 게이트웨이 서브넷 대상을 구성합니다. 엔드포인트를 구성하는 동안 각 전송 게이트웨이 서브넷이 해당 방화벽 엔드포인트 서브넷과 일치하는지 확인합니다. 적절한 서브넷 매핑은 트래픽 라우팅 및 검사의 고가용성을 보장하는 데 도움이 됩니다.

방화벽 로깅

네트워크 방화벽에 의해 차단된 트래픽을 분석하려면 방화벽 로깅을 활성화합니다. 방화벽 로깅은 승인되지 않은 활동을 식별하는 것 외에도 VPC 내부 및 외부에서 발생하는 다른 활동을 분석하는 데 도움이 될 수 있습니다.