네트워크 ACL 규칙 - Amazon Virtual Private Cloud
고려 사항

네트워크 ACL 규칙

기본 네트워크 ACL에 규칙을 추가 또는 제거하거나, VPC에 대한 네트워크 ACL을 추가로 생성할 수 있습니다. 네트워크 ACL에서 규칙을 추가하거나 제거할 때 네트워크 ACL이 연결되어 있는 서브넷에 변경 사항이 자동으로 적용됩니다.

다음은 네트워크 ACL 규칙 중 일부입니다.

  • 규칙 번호. 번호가 가장 낮은 규칙부터 평가됩니다. 규칙에 일치하는 트래픽이 있으면 이와 모순되는 상위 규칙이 있더라도 적용됩니다.

  • 유형. 트래픽 유형(예: SSH)입니다. 모든 트래픽 또는 사용자 지정 범위를 지정할 수도 있습니다.

  • 프로토콜 . 표준 프로토콜 번호를 가진 어떤 프로토콜이든 지정할 수 있습니다. 자세한 내용은 프로토콜 번호를 참조하세요. ICMP를 프로토콜로 지정하면 ICMP 유형과 코드 중 일부 또는 전부를 지정할 수 있습니다.

  • 포트 범위. 트래픽에 대한 수신 포트 또는 포트 범위입니다. 예를 들어, HTTP 트래픽의 경우 80입니다.

  • 소스: . [인바운드 규칙만 해당] 트래픽의 소스(CIDR 범위)입니다.

  • 대상 [아웃바운드 규칙만 해당] 트래픽의 대상(CIDR 범위)입니다.

  • 허용/거부. 지정된 트래픽을 허용 또는 거부 할지 여부입니다.

예시 규칙은 예: 서브넷의 인스턴스에 대한 액세스 제어 섹션을 참조하세요.

고려 사항

  • 네트워크 ACL당 규칙 수에 대한 할당량(제한이라고도 함)이 있습니다. 자세한 내용은 Amazon VPC 할당량 섹션을 참조하세요.

  • ACL에서 규칙을 추가하거나 삭제할 때 ACL과 연관된 서브넷이 변경될 수 있습니다. 변경 사항은 잠시 후 적용됩니다.

  • 명령줄 도구 또는 Amazon EC2 API를 사용하여 규칙을 추가하면 CIDR 범위가 표준 형식으로 자동 수정됩니다. 예를 들어 CIDR 범위에 100.68.0.18/18을 지정하면 100.68.0.0/18 CIDR 범위를 가진 규칙이 작성됩니다.

  • 다양한 포트를 열어야 하지만, 거부하려는 범위에 속하는 특정 포트가 있는 경우 거부 규칙을 추가할 수 있습니다. 거부 규칙에는 더 넓은 범위의 포트 트래픽을 허용하는 규칙보다 적은 수를 지정해야 합니다.

  • 네트워크 ACL에서 규칙을 동시에 추가하고 삭제하는 경우 주의해야 합니다. 인바운드 또는 아웃바운드 규칙을 삭제한 다음 허용된 항목보다 많은 새 항목을 추가하면(Amazon VPC 할당량 참조) 삭제하도록 선택한 항목이 제거되고 새 항목이 추가되지 않습니다. 이로 인해 예기치 않은 연결 문제가 발생하고 VPC에 대한 액세스가 차단될 수 있습니다.