퍼블릭 및 프라이빗 서브넷과 AWS Site-to-Site VPN 액세스를 포함하는 VPC - Amazon Virtual Private Cloud

퍼블릭 및 프라이빗 서브넷과 AWS Site-to-Site VPN 액세스를 포함하는 VPC

이 시나리오의 구성에는 퍼블릭 서브넷과 프라이빗 서브넷이 있는 Virtual Private Cloud(VPC)와, IPsec VPN 터널을 통해 귀사의 네트워크와 통신하기 위한 가상 프라이빗 게이트웨이가 포함됩니다. 네트워크를 클라우드로 확장하고 VPC로부터 직접 인터넷에 액세스하려는 경우 이 시나리오를 사용하는 것이 좋습니다. 이 시나리오를 사용하면 확장 가능한 웹 프런트 엔드가 있는 멀티 티어 애플리케이션을 퍼블릭 서브넷에서 실행하고, IPsec AWS Site-to-Site VPN 연결을 통해 네트워크에 연결된 프라이빗 서브넷에 데이터를 보관할 수 있습니다.

이 시나리오를 IPv6—에 맞게 구성할 수도 있습니다. 즉 VPC 마법사를 이용해 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 만들 수 있습니다. 서브넷에서 시작한 인스턴스는 IPv6 주소를 받을 수 있습니다. 현재 Site-to-Site VPN 연결을 통한 IPv6 통신은 지원되지 않습니다. 하지만 VPC의 인스턴스는 IPv6을 통해 서로 통신할 수 있고, 퍼블릭 서브넷의 인스턴스는 IPv6을 통해 인터넷으로 통신할 수 있습니다. IPv4 및 IPv6 주소 지정에 대한 자세한 정보는 VPC의 IP 주소 지정 단원을 참조하십시오.

EC2 인스턴스 소프트웨어 관리에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서Linux 인스턴스의 소프트웨어 관리를 참조하십시오.

개요

다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다.


				시나리오 3의 다이어그램: 퍼블릭 및 프라이빗 서브넷이 있고 VPN 액세스를 제공하는 VPC
중요

이 시나리오의 경우 사용자 측 Site-to-Site VPN 연결에서 고객 게이트웨이 디바이스를 구성하는 방법에 대한 자세한 내용은 AWS Site-to-Site VPN 사용 설명서고객 게이트웨이 디바이스를 참조하십시오.

이 시나리오를 위한 구성에는 다음 정보가 포함됩니다.

  • IPv4 CIDR의 크기가 /16(예: 10.0.0.0/16)인 Virtual Private Cloud(VPC). 이것은 65,536개의 프라이빗 IPv4 주소를 제공합니다.

  • IPv4 CIDR의 크기가 /24(예: 10.0.0.0/24)인 퍼블릭 서브넷. 이것은 256개의 프라이빗 IPv4 주소를 제공합니다. 퍼블릭 서브넷은 인터넷 게이트웨이로 이어지는 라우팅이 있는 라우팅 테이블과 연결된 서브넷입니다.

  • IPv4 CIDR의 크기가 /24(예: 10.0.1.0/24)인 VPN 전용 서브넷. 이것은 256개의 프라이빗 IPv4 주소를 제공합니다.

  • 인터넷 게이트웨이 인터넷 게이트웨이는 VPC를 인터넷 및 다른 AWS 제품에 연결합니다.

  • VPC와 네트워크 간의 Site-to-Site VPN 연결. Site-to-Site VPN 연결은 Site-to-Site VPN 연결의 Amazon 측에 있는 가상 프라이빗 게이트웨이와 Site-to-Site VPN 연결의 사용자 측에 있는 고객 게이트웨이로 구성됩니다.

  • 프라이빗 IPv4 주소가 서브넷 범위(예: 10.0.0.5 및 10.0.1.5)에 있는 인스턴스는 서로 통신할 수 있고 VPC의 다른 인스턴스와도 통신이 가능합니다.

  • 탄력적 IP 주소(예: 198.51.100.1)가 있는 퍼블릭 서브넷의 인스턴스. 이 경우 탄력적 IP 주소는 인터넷을 통해 접근할 수 있게 해주는 퍼블릭 IPv4 주소입니다. 이 인스턴스는 실행 시 탄력적 IP 주소 대신에 퍼블릭 IPv4 주소가 지정될 수 있습니다. VPN 전용 서브넷의 인스턴스는 인터넷으로부터의 수신 트래픽은 허용할 필요가 없지만 네트워크와 트래픽을 주고받을 수 있는 백엔드 서버입니다.

  • 퍼블릭 서브넷과 연결된 사용자 지정 라우팅 테이블. 이 라우팅 테이블에는 서브넷의 인스턴스가 VPC의 다른 인스턴스와 통신할 수 있게 하는 항목과, 서브넷의 인스턴스가 인터넷과 직접 통신할 수 있게 하는 항목이 들어 있습니다.

  • VPN 전용 서브넷과 연결된 기본 라우팅 테이블. 이 라우팅 테이블에는 서브넷의 인스턴스가 VPC의 다른 인스턴스와 통신할 수 있게 하는 항목과, 서브넷의 인스턴스가 귀사의 네트워크와 직접 통신할 수 있게 하는 항목이 들어 있습니다.

서브넷에 대한 자세한 정보는 VPC 및 서브넷VPC의 IP 주소 지정을 참조하십시오. 인터넷 게이트웨이에 대한 자세한 내용은 인터넷 게이트웨이 단원을 참조하십시오. AWS Site-to-Site VPN 연결에 대한 자세한 정보는 AWS Site-to-Site VPN 사용 설명서AWS Site-to-Site VPN란 무엇인가?를 참조하십시오.

IPv6 개요

이 시나리오에 IPv6를 사용할 수도 있습니다. 위에 나열된 구성 요소뿐 아니라 다음 요소도 구성에 포함됩니다.

  • VPC와 연결된 /56 크기의 IPv6 CIDR 블록(예: 2001:db8:1234:1a00::/56). AWS는 CIDR을 자동 할당하므로 범위를 직접 선택할 수는 없습니다.

  • 퍼블릭 서브넷과 연결된 /64 크기의 IPv6 CIDR 블록(예: 2001:db8:1234:1a00::/64). VPC에 할당된 범위 내에서 서브넷의 범위를 선택할 수 있습니다. IPv6 CIDR의 크기는 선택할 수 없습니다.

  • VPN 전용 서브넷과 연결된 /64 크기의 IPv6 CIDR 블록(예: 2001:db8:1234:1a01::/64). VPC에 할당된 범위 내에서 서브넷의 범위를 선택할 수 있습니다. IPv6 CIDR의 크기는 선택할 수 없습니다.

  • 서브넷 범위에서 인스턴스에 할당된 IPv6 주소(예: 2001:db8:1234:1a00::1a).

  • 퍼블릭 서브넷의 인스턴스가 IPv6을 사용하여 서로 통신할 수 있게 해주며, 또한 인터넷을 통해 직접 통신할 수 있게 해주는 사용자 지정 라우팅 테이블의 라우팅 테이블 항목.

  • VPN 전용 서브넷의 인스턴스가 IPv6를 사용하여 서로 통신할 수 있게 해주는 기본 라우팅 테이블의 라우팅 테이블 항목.


					퍼블릭 및 VPN 전용 서브넷이 있는 IPv6 사용 VPC

라우팅

VPC에는 라우터가 내재되어 있습니다(이 시나리오의 구성 다이어그램 참조). 이 시나리오의 경우, VPC 마법사는 VPN 전용 서브넷에 사용되는 기본 라우팅 테이블을 업데이트하고 사용자 정의 라우팅 테이블을 만들어 이를 퍼블릭 서브넷에 연결합니다.

VPN 전용 서브넷의 인스턴스는 인터넷에 직접 연결할 수 없습니다. 인터넷 바운드 트래픽은 먼저 가상 프라이빗 게이트웨이를 통과해야 네트워크에 연결되며, 이러한 트래픽에는 해당 방화벽과 기업 보안 정책이 적용됩니다. 인스턴스에서 AWS 바운드 트래픽(예: Amazon S3 또는 Amazon EC2 API에 대한 요청)을 전송할 경우 이 요청을 AWS로 전송하려면 먼저 가상 프라이빗 게이트웨이를 통해 네트워크에 연결한 다음 인터넷에 액세스해야 합니다. 현재 Site-to-Site VPN 연결에는 IPv6를 지원하지 않습니다.

작은 정보

네트워크에서 퍼블릭 서브넷의 인스턴스에 대한 탄력적 IP 주소로 향하는 트래픽은 가상 프라이빗 게이트웨이가 아닌 인터넷을 통해 전달됩니다. 이렇게 하지 않고, 네트워크에서 나오는 트래픽이 가상 프라이빗 게이트웨이를 거쳐 퍼블릭 서브넷으로 향하도록 라우팅과 보안 그룹 규칙을 설정할 수 있습니다.

Site-to-Site VPN 연결은 고정 라우팅 Site-to-Site VPN 연결 또는 동적 라우팅 Site-to-Site VPN 연결(BGP 사용)로 구성됩니다. 고정 라우팅을 선택하는 경우, Site-to-Site VPN 연결을 생성할 때 네트워크의 IP 접두사를 수동으로 입력하라는 메시지가 표시됩니다. 동적 라우팅을 선택할 경우 BGP를 사용하는 VPC에 대한 가상 프라이빗 게이트웨이에 IP 접두사가 자동으로 알려집니다.

다음 표에서는 이 시나리오의 라우팅 테이블에 대해 설명합니다.

기본 라우팅 테이블

첫 번째 항목은 VPC의 로컬 라우팅에 대한 기본 항목으로서, VPC의 인스턴스가 IPv4를 통해 서로 통신할 수 있게 해줍니다. 두 번째 항목에서는 가상 프라이빗 게이트웨이(예: vgw-1a2b3c4d)를 통해 프라이빗 서브넷에서 해당 네트워크로 기타 IPv4 서브넷 트래픽을 모두 라우팅합니다.

대상 주소 대상

10.0.0.0/16

로컬

0.0.0.0/0

vgw-id

사용자 지정 라우팅 테이블

첫 번째 항목은 VPC의 로컬 라우팅에 대한 기본 항목으로서, VPC의 인스턴스가 서로 통신할 수 있게 해줍니다. 두 번째 항목은 인터넷 게이트웨이(예: igw-1a2b3c4d)를 통해 퍼블릭 서브넷에서 인터넷으로 다른 모든 IPv4 서브넷 트래픽을 라우팅합니다.

대상 주소 대상

10.0.0.0/16

로컬

0.0.0.0/0

igw-id

대체 라우팅

프라이빗 서브넷의 인스턴스가 인터넷에 액세스하게 하려면, 퍼블릭 서브넷에 네트워크 주소 변환(NAT) 게이트웨이 또는 인스턴스를 생성하고 서브넷의 인터넷 바운드 트래픽이 NAT 디바이스로 전송되도록 라우팅을 설정하면 됩니다. 이렇게 하면 VPN 전용 서브넷의 인스턴스가 인터넷 게이트웨이를 통해 요청(예: 소프트웨어 업데이트)을 전송할 수 있습니다.

NAT 디바이스를 수동으로 설정하는 방법에 대한 자세한 정보는 NAT를 참조하십시오. VPC 마법사를 사용하여 NAT 디바이스를 설정하는 것에 대한 자세한 정보는 퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT)를 참조하십시오.

프라이빗 서브넷의 인터넷 바운드 트래픽이 NAT 디바이스로 전송되게 하려면 기본 라우팅 테이블을 다음과 같이 업데이트해야 합니다.

첫 번째 항목은 VPC의 로컬 라우팅에 대한 기본 항목입니다. 두 번째 항목은 로컬(고객) 네트워크에 대한 서브넷 트래픽을 가상 프라이빗 게이트웨이로 라우팅합니다. 이 예에서는 로컬 네트워크의 IP 주소 범위를 172.16.0.0/12로 가정합니다. 세 번째 항목에서는 기타 서브넷 트래픽을 모두 NAT 게이트웨이로 전송합니다.

대상 주소 대상

10.0.0.0/16

로컬

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

IPv6에 대한 라우팅

IPv6 CIDR 블록을 VPC 및 서브넷에 연결하는 경우, 라우팅 테이블에는 IPv6 트래픽에 대한 별도의 경로가 포함되어야 합니다. 다음 표는 VPC에서 IPv6 통신을 사용하기로 한 경우, 이 시나리오에 대한 라우팅 테이블을 정리한 것입니다.

기본 라우팅 테이블

두 번째 항목은 IPv6를 통한 VPC의 로컬 라우팅에 자동으로 추가된 기본 경로입니다.

대상 주소 대상

10.0.0.0/16

로컬

2001:db8:1234:1a00::/56

로컬

0.0.0.0/0

vgw-id

사용자 지정 라우팅 테이블

두 번째 항목은 IPv6를 통한 VPC의 로컬 라우팅에 자동으로 추가된 기본 경로입니다. 네 번째 항목에서는 기타 IPv6 서브넷 트래픽을 모두 인터넷 게이트웨이로 라우팅합니다.

대상 주소 대상

10.0.0.0/16

로컬

2001:db8:1234:1a00::/56

로컬

0.0.0.0/0

igw-id

::/0

igw-id

보안

AWS는 VPC의 보안을 강화하기 위해 사용할 수 있는 두 가지 기능인 보안 그룹네트워크 ACL을 제공합니다. 보안 그룹은 인스턴스용 인바운드 및 아웃바운드 트래픽을 제어하고, 네트워크 ACL은 서브넷용 인바운드 및 아웃바운드 트래픽을 제어합니다. 대부분의 경우 보안 그룹은 사용자의 요구 사항을 맞출 수 있지만, 원하는 경우 네트워크 ACL을 사용하여 VPC에 보안 계층을 더 추가할 수 있습니다. 자세한 내용은 Amazon VPC의 인터네트워크 트래픽 개인 정보 보호 단원을 참조하십시오.

시나리오 3의 경우, 네트워크 ACL이 아닌 보안 그룹을 사용합니다. 네트워크 ACL을 사용하려는 경우 퍼블릭 및 프라이빗 서브넷과 AWS Site-to-Site VPN 액세스 권한이 있는 VPC에 권장되는 네트워크 ACL 규칙을 참조하십시오.

VPC는 기본 보안 그룹과 함께 제공됩니다. 인스턴스를 시작하는 동안 다른 보안 그룹을 지정하지 않는 경우, VPC에서 시작되는 인스턴스는 적절한 기본 보안 그룹과 자동 연결됩니다. 이 시나리오의 경우, 기본 보안 그룹을 수정하는 대신 다음과 같은 보안 그룹을 생성하는 것이 좋습니다.

  • WebServerSG: 퍼블릭 서브넷의 웹 서버를 시작할 때 이 보안 그룹을 지정합니다.

  • DBServerSG: VPN 전용 서브넷의 데이터베이스 서버를 시작할 때 이 보안 그룹을 지정합니다.

보안 그룹에 지정된 인스턴스는 서로 다른 서브넷에 있을 수 있습니다. 하지만 이 시나리오에서 각 보안 그룹은 인스턴스가 수행하는 역할 유형과 일치하며, 각 역할은 인스턴스가 특정 서브넷에 있을 것을 요구합니다. 따라서 이 시나리오에서 한 보안 그룹에 지정된 모든 인스턴스는 동일한 서브넷에 있습니다.

아래 표에서는 WebServerSG 보안 그룹에 권장되는 규칙을 설명합니다. 이 규칙은 웹 서버가 인터넷 트래픽을 수신하고, 네트워크에서 발생하는 SSH 및 RDP 트래픽을 수신할 수 있도록 허용합니다. 웹 서버는 또한 VPN 전용 서브넷의 데이터베이스 서버에 대해 읽기 및 쓰기 요청을 시작하고, 인터넷으로 트래픽을 전송합니다(예: 소프트웨어 업데이트 받기). 웹 서버는 다른 아웃바운드 통신을 시작하지 않기 때문에 기본 아웃바운드 규칙은 제거됩니다.

참고

이 그룹에는 SSH 및 RDP 액세스와 Microsoft SQL Server 및 MySQL 액세스가 포함됩니다. 상황에 따라 Linux(SSH 및 MySQL) 또는 Windows(RDP 및 Microsoft SQL Server)용 규칙만 필요할 수 있습니다.

인바운드
소스 프로토콜 포트 범위 설명

0.0.0.0/0

TCP

80

어떤 IPv4 주소에서든 웹 서버로의 인바운드 HTTP 액세스 허용

0.0.0.0/0

TCP

443

어떤 IPv4 주소에서든 웹 서버로의 인바운드 HTTPS 액세스 허용

네트워크의 퍼블릭 IP 주소 범위

TCP

22

인터넷 게이트웨이를 통해 네트워크에서 Linux 인스턴스로의 인바운드 SSH 액세스 허용

네트워크의 퍼블릭 IP 주소 범위

TCP

3389

인터넷 게이트웨이를 통해 네트워크에서 Windows 인스턴스로의 인바운드 RDP 액세스 허용

아웃바운드

DBServerSG 보안 그룹의 ID

TCP

1433

DBServerSG에 지정된 데이터베이스 서버에 대해 아웃바운드 Microsoft SQL Server 액세스 허용.

DBServerSG 보안 그룹의 ID

TCP

3306

DBServerSG에 지정된 데이터베이스 서버에 대해 아웃바운드 MySQL 액세스 허용.

0.0.0.0/0

TCP

80

인터넷에 대한 아웃바운드 HTTP 액세스 허용

0.0.0.0/0

TCP

443

인터넷에 대한 아웃바운드 HTTPS 액세스 허용

다음 표에서는 DBServerSG 보안 그룹에 권장되는 규칙을 설명합니다. 이 규칙은 웹 서버의 Microsoft SQL Server 및 MySQL 읽기/쓰기 요청과 네트워크에서 발생하는 SSH 및 RDP 트래픽을 허용합니다. 또한 데이터베이스 서버는 인터넷에 대한 트래픽 바운드를 시작할 수 있습니다. 라우팅 테이블에서는 이 트래픽을 가상 프라이빗 게이트웨이를 통해 전송합니다.

인바운드
소스 프로토콜 포트 범위 설명

WebServerSG 보안 그룹의 ID

TCP

1433

WebServerSG 보안 그룹과 연결된 웹 서버에서 인바운드 Microsoft SQL Server 액세스가 가능하도록 허용

WebServerSG 보안 그룹의 ID

TCP

3306

WebServerSG 보안 그룹과 연결된 웹 서버에서 인바운드 MySQL Server 액세스가 가능하도록 허용

네트워크의 IPv4 주소 범위

TCP

22

네트워크에서 Linux 인스턴스로의 인바운드 SSH 트래픽 허용(가상 프라이빗 게이트웨이 거침).

네트워크의 IPv4 주소 범위

TCP

3389

네트워크에서 Windows 인스턴스로의 인바운드 RDP 트래픽 허용(가상 프라이빗 게이트웨이 거침).

아웃바운드

대상 주소 프로토콜 포트 범위 설명

0.0.0.0/0

TCP

80

가상 프라이빗 게이트웨이를 통해 인터넷에 대한 아웃바운드 IPv4 HTTP 액세스 허용(예: 소프트웨어 업데이트)

0.0.0.0/0

TCP

443

가상 프라이빗 게이트웨이를 통해 인터넷에 대한 아웃바운드 IPv4 HTTPS 액세스 허용(예: 소프트웨어 업데이트)

(선택 사항) VPC의 기본 보안 그룹에는 지정된 인스턴스가 서로 통신할 수 있도록 자동 허용하는 규칙이 있습니다. 사용자 지정 보안 그룹에 이러한 유형의 통신을 허용하려면 다음과 같은 규칙을 추가해야 합니다.

인바운드
소스 프로토콜 포트 범위 설명

보안 그룹의 ID

모두

모두

이 보안 그룹에 지정된 다른 인스턴스로부터의 인바운드 트래픽 허용.

아웃바운드
대상 주소 프로토콜 포트 범위 설명
보안 그룹의 ID 모두 모두 이 보안 그룹에 지정된 다른 인스턴스에 대해 아웃바운드 트래픽 허용

IPv6에 대한 보안 그룹 규칙

IPv6 CIDR 블록을 VPC 및 서브넷에 연결하는 경우, WebServerSG 및 DBServerSG 보안 그룹에 별도의 규칙을 추가하여 인스턴스에 대한 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다. 이 시나리오에서 웹 서버는 IPv6을 통해 인터넷 트래픽을 모두 수신할 수 있고, IPv6을 통해 로컬 네트워크로부터 SSH 또는 RDP 트래픽을 수신할 수 있습니다. 또한 인터넷으로의 아웃바운드 IPv6 트래픽을 시작할 수 있습니다. 데이터베이스 서버는 인터넷으로의 아웃바운드 IPv6 트래픽을 시작할 수 없으므로, 추가 보안 그룹 규칙은 필요 없습니다.

다음은 WebServerSG 보안 그룹에 대한 IPv6 전용 규칙입니다(위에 나열한 규칙에 추가되는 것).

인바운드
소스 프로토콜 포트 범위 설명

::/0

TCP

80

어떤 IPv6 주소에서든 웹 서버로의 인바운드 HTTP 액세스 허용

::/0

TCP

443

어떤 IPv6 주소에서든 웹 서버로의 인바운드 HTTPS 액세스 허용

네트워크의 IPv6 주소 범위

TCP

22

(Linux 인스턴스) IPv6를 통한 네트워크로부터의 인바운드 SSH 액세스 허용

네트워크의 IPv6 주소 범위

TCP

3389

(Windows 인스턴스) IPv6를 통한 네트워크로부터의 인바운드 RDP 액세스 허용

아웃바운드
대상 주소 프로토콜 포트 범위 설명
::/0 TCP HTTP 임의의 IPv6 주소에 대한 아웃바운드 HTTP 액세스 허용
::/0 TCP HTTPS 임의의 IPv6 주소에 대한 아웃바운드 HTTPS 액세스 허용

시나리오 3 구현

시나리오 3을 구현하려면 고객 게이트웨이 관련 정보를 얻은 후 VPC 마법사를 사용하여 VPC를 생성합니다. VPC 마법사는 고객 게이트웨이 및 가상 프라이빗 게이트웨이와의 Site-to-Site VPN 연결을 생성합니다.

이 절차에는 VPC용 IPv6 통신을 활성화 및 구성하기 위한 옵션 절차가 포함됩니다. VPC에서 IPv6를 사용하고 싶지 않다면 이 절차를 수행할 필요가 없습니다.

고객 게이트웨이를 준비하려면

  1. 고객 게이트웨이로 사용할 디바이스를 결정합니다. 자세한 정보는 AWS Site-to-Site VPN 사용 설명서고객 게이트웨이 디바이스를 참조하십시오.

  2. 고객 게이트웨이 디바이스의 외부 인터페이스에 대한 인터넷 라우팅 가능 IP 주소를 확보합니다. 주소는 고정 주소여야 하며 네트워크 주소 변환(NAT)을 수행하는 디바이스를 사용할 수 있습니다.

  3. 고정 라우팅된 Site-to-Site VPN 연결을 생성하고자 하는 경우, Site-to-Site VPN 연결을 통해 가상 프라이빗 게이트웨이로 알려야 하는 내부 IP 범위의 목록(CIDR 표기법)을 얻어야 합니다. 자세한 정보는 AWS Site-to-Site VPN 사용 설명서라우팅 테이블 및 VPN 라우팅 우선 순위를 참조하십시오.

IPv4에서 VPC 마법사를 사용하는 방법에 대한 자세한 내용은 Amazon VPC 시작하기 단원을 참조하십시오.

IPv6에서 VPC 마법사를 사용하는 방법에 대한 자세한 내용은 Amazon VPC용 IPv6 시작하기 단원을 참조하십시오.

퍼블릭 및 프라이빗 서브넷과 AWS Site-to-Site VPN 액세스 권한이 있는 VPC에 권장되는 네트워크 ACL 규칙

이 시나리오에서는 퍼블릭 서브넷에 대한 하나의 네트워크 ACL과, VPN 전용 서브넷을 위한 별도의 네트워크 ACL이 있습니다. 다음 표에는 각 ACL에 권장되는 규칙이 나와 있습니다. 이 규칙은 명시적으로 요구되는 트래픽을 제외한 모든 트래픽을 차단합니다.

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

허용

어떤 IPv4 주소에서든 웹 서버로의 인바운드 HTTP 트래픽 허용

110

0.0.0.0/0

TCP

443

허용

어떤 IPv4 주소에서든 웹 서버로의 인바운드 HTTPS 트래픽 허용

120

홈 네트워크의 퍼블릭 IPv4 주소 범위

TCP

22

허용

홈 네트워크에서 웹 서버로의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해).

130

홈 네트워크의 퍼블릭 IPv4 주소 범위

TCP

3389

허용

홈 네트워크에서 웹 서버로의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해).

140

0.0.0.0/0

TCP

32768-65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv4 트래픽 거부(수정 불가)

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

110

0.0.0.0/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

120

10.0.1.0/24

TCP

1433

허용

VPN 전용 서브넷의 데이터베이스 서버에 대해 아웃바운드 MS SQL 액세스 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

140

0.0.0.0/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 IPv4 응답 허용(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 아웃바운드 트래픽 거부(수정 불가).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

10.0.0.0/24

TCP

1433

허용

퍼블릭 서브넷의 웹 서버가 VPN 전용 서브넷의 MS SQL 서버에 읽기 및 쓰기를 할 수 있도록 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

120

홈 네트워크의 프라이빗 IPv4 주소 범위

TCP

22

허용

홈 네트워크로부터의 인바운드 SSH 트래픽 허용(가상 프라이빗 게이트웨이를 통해).

130

홈 네트워크의 프라이빗 IPv4 주소 범위

TCP

3389

허용

홈 네트워크로부터의 인바운드 RDP 트래픽 허용(가상 프라이빗 게이트웨이를 통해).

140

홈 네트워크의 프라이빗 IP 주소 범위

TCP

32768-65535

허용

홈 네트워크의 클라이언트로부터의 인바운드 리턴 트래픽 허용(가상 프라이빗 게이트웨이를 통해)

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 인바운드 트래픽 거부(수정 불가).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

홈 네트워크의 프라이빗 IP 주소 범위

모두

모두

허용

서브넷에서 홈 네트워크로의 모든 아웃바운드 트래픽 허용(가상 프라이빗 게이트웨이를 통해). 이 규칙은 규칙 120을 포함합니다. 그러나 특정 프로토콜 유형과 포트 번호를 사용하여 이 규칙을 더 제한적으로 만들 수 있습니다. 이 규칙을 더 제한적으로 만드는 경우, 네트워크 ACL에 규칙 120을 포함하여 아웃바운드 응답이 차단되지 않도록 해야 합니다.

110

10.0.0.0/24

TCP

32768-65535

허용

퍼블릭 서브넷의 웹 서버에 대해 아웃바운드 응답 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

120

홈 네트워크의 프라이빗 IP 주소 범위

TCP

32768-65535

허용

홈 네트워크의 클라이언트에 대한 아웃바운드 응답 허용(가상 프라이빗 게이트웨이를 통해).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 아웃바운드 트래픽 거부(수정 불가).

IPv6에 권장되는 네트워크 ACL 규칙

IPv6 지원을 통해 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 생성한 경우, 네트워크 ACL에 별도의 규칙을 추가하여 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다.

다음은 네트워크 ACL에 대한 IPv6 전용 규칙입니다(위에 나열한 규칙에 추가).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용

160

::/0

TCP

443

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용

170

홈 네트워크의 IPv6 주소 범위

TCP

22

허용

홈 네트워크에서 발생하는 IPv6를 통한 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해)

180

홈 네트워크의 IPv6 주소 범위

TCP

3389

허용

홈 네트워크에서 발생하는 IPv6를 통한 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해)

190

::/0

TCP

1024~65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

160

::/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

170

2001:db8:1234:1a01::/64

TCP

1433

허용

프라이빗 서브넷의 데이터베이스 서버에 대해 아웃바운드 MS SQL 액세스 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

190

::/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 응답 허용(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

2001:db8:1234:1a00::/64

TCP

1433

허용

퍼블릭 서브넷의 웹 서버가 프라이빗 서브넷의 MS SQL 서버에 읽기 및 쓰기를 할 수 있도록 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

2001:db8:1234:1a00::/64

TCP

32768-65535

허용

퍼블릭 서브넷에 대한 아웃바운드 응답 허용(예: 퍼블릭 서브넷에서 프라이빗 서브넷의 DB 서버와 통신하는 웹 서버에 대한 응답).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)