Amazon Virtual Private Cloud
사용 설명서

VPC에 권장되는 네트워크 ACL 규칙

VPC 마법사는 Amazon VPC의 일반적인 시나리오를 구현할 수 있도록 도와줍니다. 설명서에서 설명한 대로 이러한 시나리오를 구현하면 기본 네트워크 액세스 제어 목록(ACL)을 사용하게 되며, 이 ACL은 모든 인바운드와 아웃바운드 트래픽을 허용합니다. 추가적인 보안 계층이 필요할 경우 네트워크 ACL을 만들어 규칙을 추가할 수 있습니다. 자세한 내용은 네트워크 ACL 단원을 참조하십시오.

각 시나리오에 대해 다음과 같은 규칙을 권장합니다.

고려 사항

  • 여기서는 NAT 게이트웨이에 휘발성 포트 범위(예: 32768-65535) 또는 1024-65535를 사용합니다. 구성에 적합한 범위를 선택해야 합니다. 자세한 내용은 휘발성 포트 단원을 참조하십시오.

  • 서브넷의 호스트 간 최대 전송 단위(MTU)가 다른 경우, 경로 MTU 검색이 올바르게 작동하고 패킷 손실을 방지하도록 인바운드와 아웃바운드 모두에 다음 규칙을 추가해야 합니다. 즉, 유형에 사용자 지정 ICMP 규칙, 포트 범위에 대상에 연결할 수 없음, 조각화 필요, DF 플래그 설정(유형 3, 코드 4)을 선택합니다. traceroute를 사용할 경우에는 다음 규칙도 추가합니다. 즉, 유형에 사용자 지정 ICMP 규칙, 포트 범위에 시간 초과, TTL 전송 만료(유형 11, 코드 0)를 선택합니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서EC2 인스턴스에 대한 네트워크 MTU(최대 전송 단위)를 참조하십시오.

시나리오 1을 위한 권장 규칙

시나리오 1은 인터넷 트래픽을 수신하고 전송할 수 있는 인스턴스를 가진 단일 서브넷입니다. 자세한 내용은 시나리오 1: 단일 퍼블릭 서브넷을 가진 VPC 단원을 참조하십시오.

다음 표에는 권장되는 규칙이 나와 있습니다. 이 규칙은 명시적으로 요구되는 트래픽을 제외한 모든 트래픽을 차단합니다.

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

어떤 IPv4 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용

110

0.0.0.0/0

TCP

443

허용

어떤 IPv4 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용

120

홈 네트워크의 퍼블릭 IPv4 주소 범위

TCP

22

허용

홈 네트워크로부터의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해).

130

홈 네트워크의 퍼블릭 IPv4 주소 범위

TCP

3389

허용

홈 네트워크로부터의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해).

140

0.0.0.0/0

TCP

32768-65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv4 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

110

0.0.0.0/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

120

0.0.0.0/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 응답을 허용합니다(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv4 트래픽 거부(수정 불가)

IPv6를 위한 권장 규칙

IPv6 지원을 통해 시나리오 1을 구현하고 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 생성한 경우, 네트워크 ACL에 별도의 규칙을 추가하여 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다.

다음은 네트워크 ACL에 대한 IPv6 전용 규칙입니다(위에 나열한 규칙에 추가되는 것).

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

150

::/0

TCP

80

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용

160

::/0

TCP

443

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용

170

홈 네트워크의 IPv6 주소 범위

TCP

22

허용

홈 네트워크로부터의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해).

180

홈 네트워크의 IPv6 주소 범위

TCP

3389

허용

홈 네트워크로부터의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해).

190

::/0

TCP

32768-65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

130

::/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

140

::/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

150

::/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 응답을 허용합니다(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)

시나리오 2를 위한 권장 규칙

시나리오 2는 인터넷 트래픽을 수신하고 전송할 수 있는 인스턴스를 가진 퍼블릭 서브넷과, 인터넷으로부터 직접 트래픽을 수신할 수 없는 프라이빗 서브넷입니다. 하지만 퍼블릭 서브넷의 NAT 게이트웨이 또는 NAT 인스턴스를 통해 인터넷으로 트래픽을 시작하고 응답을 받을 수 있습니다. 자세한 내용은 시나리오 2: 퍼블릭 서브넷과 프라이빗 서브넷이 있는 VPC(NAT) 단원을 참조하십시오.

이 시나리오에서는 퍼블릭 서브넷에 대한 하나의 네트워크 ACL과, 프라이빗 서브넷을 위한 별도의 네트워크 ACL이 있습니다. 다음 표에는 각 ACL에 권장되는 규칙이 나와 있습니다. 이 규칙은 명시적으로 요구되는 트래픽을 제외한 모든 트래픽을 차단합니다. 이들 규칙은 시나리오의 보안 그룹 규칙을 대부분 모방합니다.

퍼블릭 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

어떤 IPv4 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용

110

0.0.0.0/0

TCP

443

허용

어떤 IPv4 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용

120

홈 네트워크의 공인 IP 주소 범위

TCP

22

허용

홈 네트워크로부터의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해).

130

홈 네트워크의 공인 IP 주소 범위

TCP

3389

허용

홈 네트워크로부터의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해).

140

0.0.0.0/0

TCP

1024~65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv4 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

110

0.0.0.0/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

120

10.0.1.0/24

TCP

1433

허용

프라이빗 서브넷의 데이터베이스 서버에 대해 아웃바운드 MS SQL 액세스 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

140

0.0.0.0/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 응답을 허용합니다(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

150

10.0.1.0/24

TCP

22

허용

프라이빗 서브넷의 인스턴스에 대한 아웃바운드 SSH 액세스 허용(SSH 배스천이 있다면 SSH 배스천으로부터).

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv4 트래픽 거부(수정 불가)

프라이빗 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

100

10.0.0.0/24

TCP

1433

허용

퍼블릭 서브넷의 웹 서버가 프라이빗 서브넷의 MS SQL 서버에 읽기 및 쓰기를 할 수 있도록 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

120

10.0.0.0/24

TCP

22

허용

퍼블릭 서브넷의 SSH 배스천으로부터의 인바운드 SSH 트래픽 허용(SSH 배스천이 있는 경우)

130

10.0.0.0/24

TCP

3389

허용

퍼블릭 서브넷의 Microsoft Terminal Services 게이트웨이로부터의 인바운드 RDP 트래픽 허용.

140

0.0.0.0/0

TCP

1024~65535

허용

프라이빗 서브넷에서 발신되는 요청에 대해 발생하는 퍼블릭 서브넷의 NAT 디바이스로부터의 인바운드 리턴 트래픽을 허용합니다(즉, 서브넷에서 시작되는 요청에 대해).

올바른 임시 포트 지정에 대한 정보는 이 주제의 첫 부분에 있는 중요 참고 사항을 보십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 IPv4 인바운드 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

110

0.0.0.0/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

120

10.0.0.0/24

TCP

32768-65535

허용

퍼블릭 서브넷에 대한 아웃바운드 응답 허용(예: 퍼블릭 서브넷에서 프라이빗 서브넷의 DB 서버와 통신하는 웹 서버에 대한 응답).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv4 트래픽 거부(수정 불가)

IPv6를 위한 권장 규칙

IPv6 지원을 통해 시나리오 2를 구현하고 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 생성한 경우, 네트워크 ACL에 별도의 규칙을 추가하여 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다.

다음은 네트워크 ACL에 대한 IPv6 전용 규칙입니다(위에 나열한 규칙에 추가되는 것).

퍼블릭 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

150

::/0

TCP

80

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용

160

::/0

TCP

443

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용

170

홈 네트워크의 IPv6 주소 범위

TCP

22

허용

홈 네트워크에서 발생하는 IPv6를 통한 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해)

180

홈 네트워크의 IPv6 주소 범위

TCP

3389

허용

홈 네트워크에서 발생하는 IPv6를 통한 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해)

190

::/0

TCP

1024~65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

160

::/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

170

::/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용

180

2001:db8:1234:1a01::/64

TCP

1433

허용

프라이빗 서브넷의 데이터베이스 서버에 대해 아웃바운드 MS SQL 액세스 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

200

::/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 응답을 허용합니다(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공)

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

210

2001:db8:1234:1a01::/64

TCP

22

허용

프라이빗 서브넷의 인스턴스에 대한 아웃바운드 SSH 액세스 허용(SSH 배스천이 있다면 SSH 배스천으로부터).

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)

프라이빗 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

150

2001:db8:1234:1a00::/64

TCP

1433

허용

퍼블릭 서브넷의 웹 서버가 프라이빗 서브넷의 MS SQL 서버에 읽기 및 쓰기를 할 수 있도록 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

170

2001:db8:1234:1a00::/64

TCP

22

허용

퍼블릭 서브넷의 SSH 배스천으로부터의 인바운드 SSH 트래픽 허용(해당되는 경우)

180

2001:db8:1234:1a00::/64

TCP

3389

허용

퍼블릭 서브넷의 Microsoft Terminal Services 게이트웨이로부터의 인바운드 RDP 트래픽 허용(해당되는 경우).

190

::/0

TCP

1024~65535

허용

프라이빗 서브넷에서 발신되는 요청에 대해 발생하는 외부 전용 인터넷 게이트웨이로부터의 인바운드 리턴 트래픽을 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

130

::/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

140

::/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

150

2001:db8:1234:1a00::/64

TCP

32768-65535

허용

퍼블릭 서브넷에 대한 아웃바운드 응답 허용(예: 퍼블릭 서브넷에서 프라이빗 서브넷의 DB 서버와 통신하는 웹 서버에 대한 응답).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)

시나리오 3을 위한 권장 규칙

시나리오 3은 인터넷 트래픽을 수신하고 전송할 수 있는 인스턴스를 가진 퍼블릭 서브넷과, VPN 연결을 통해 홈 네트워크하고만 통신할 수 있는 인스턴스를 가진 VPN 전용 서브넷입니다. 자세한 내용은 시나리오 3: 퍼블릭 및 프라이빗 서브넷이 있고 AWS 관리형 VPN 액세스를 제공하는 VPC 단원을 참조하십시오.

이 시나리오에서는 퍼블릭 서브넷에 대한 하나의 네트워크 ACL과, VPN 전용 서브넷을 위한 별도의 네트워크 ACL이 있습니다. 다음 표에는 각 ACL에 권장되는 규칙이 나와 있습니다. 이 규칙은 명시적으로 요구되는 트래픽을 제외한 모든 트래픽을 차단합니다.

퍼블릭 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

어떤 IPv4 주소에서든 웹 서버로의 인바운드 HTTP 트래픽 허용

110

0.0.0.0/0

TCP

443

허용

어떤 IPv4 주소에서든 웹 서버로의 인바운드 HTTPS 트래픽 허용

120

홈 네트워크의 퍼블릭 IPv4 주소 범위

TCP

22

허용

홈 네트워크에서 웹 서버로의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해).

130

홈 네트워크의 퍼블릭 IPv4 주소 범위

TCP

3389

허용

홈 네트워크에서 웹 서버로의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해).

140

0.0.0.0/0

TCP

32768-65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv4 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

100

0.0.0.0/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

110

0.0.0.0/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

120

10.0.1.0/24

TCP

1433

허용

VPN 전용 서브넷의 데이터베이스 서버에 대해 아웃바운드 MS SQL 액세스 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

140

0.0.0.0/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 IPv4 응답을 허용(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공)

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 아웃바운드 트래픽 거부(수정 불가).

VPN 전용 서브넷의 ACL 설정

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

100

10.0.0.0/24

TCP

1433

허용

퍼블릭 서브넷의 웹 서버가 VPN 전용 서브넷의 MS SQL 서버에 읽기 및 쓰기를 할 수 있도록 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

120

홈 네트워크의 프라이빗 IPv4 주소 범위

TCP

22

허용

홈 네트워크로부터의 인바운드 SSH 트래픽 허용(가상 프라이빗 게이트웨이를 통해).

130

홈 네트워크의 프라이빗 IPv4 주소 범위

TCP

3389

허용

홈 네트워크로부터의 인바운드 RDP 트래픽 허용(가상 프라이빗 게이트웨이를 통해).

140

홈 네트워크의 프라이빗 IP 주소 범위

TCP

32768-65535

허용

홈 네트워크의 클라이언트로부터의 인바운드 반환 트래픽 허용(가상 프라이빗 게이트웨이를 통해)

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 인바운드 트래픽 거부(수정 불가).

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

100

홈 네트워크의 프라이빗 IP 주소 범위

모두

모두

허용

서브넷에서 홈 네트워크로의 모든 아웃바운드 트래픽 허용(가상 프라이빗 게이트웨이를 통해). 이 규칙에는 규칙 120도 포함되지만, 특정 프로토콜 유형과 포트 번호를 사용하여 이 규칙을 더 제한적으로 만들 수 있습니다. 이 규칙을 더 제한적으로 만드는 경우, 네트워크 ACL에 규칙 120을 포함하여 아웃바운드 응답이 차단되지 않도록 해야 합니다.

110

10.0.0.0/24

TCP

32768-65535

허용

퍼블릭 서브넷의 웹 서버에 대해 아웃바운드 응답 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

120

홈 네트워크의 프라이빗 IP 주소 범위

TCP

32768-65535

허용

홈 네트워크의 클라이언트에 대한 아웃바운드 응답 허용(가상 프라이빗 게이트웨이를 통해).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 아웃바운드 트래픽 거부(수정 불가).

IPv6를 위한 권장 규칙

IPv6 지원을 통해 시나리오 3을 구현하고 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 생성한 경우, 네트워크 ACL에 별도의 규칙을 추가하여 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다.

다음은 네트워크 ACL에 대한 IPv6 전용 규칙입니다(위에 나열한 규칙에 추가되는 것).

퍼블릭 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

150

::/0

TCP

80

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용

160

::/0

TCP

443

허용

어떤 IPv6 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용

170

홈 네트워크의 IPv6 주소 범위

TCP

22

허용

홈 네트워크에서 발생하는 IPv6를 통한 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해)

180

홈 네트워크의 IPv6 주소 범위

TCP

3389

허용

홈 네트워크에서 발생하는 IPv6를 통한 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해)

190

::/0

TCP

1024~65535

허용

서브넷에서 발신되는 요청에 응답하는 인터넷 호스트로부터의 인바운드 리턴 트래픽 허용.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

150

::/0

TCP

80

허용

서브넷에서 인터넷으로의 아웃바운드 HTTP 트래픽 허용.

160

::/0

TCP

443

허용

서브넷에서 인터넷으로의 아웃바운드 HTTPS 트래픽 허용.

170

2001:db8:1234:1a01::/64

TCP

1433

허용

프라이빗 서브넷의 데이터베이스 서버에 대해 아웃바운드 MS SQL 액세스 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

190

::/0

TCP

32768-65535

허용

인터넷에서 클라이언트에 대한 아웃바운드 응답을 허용합니다(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공)

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)

VPN 전용 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

150

2001:db8:1234:1a00::/64

TCP

1433

허용

퍼블릭 서브넷의 웹 서버가 프라이빗 서브넷의 MS SQL 서버에 읽기 및 쓰기를 할 수 있도록 허용.

이 포트 번호는 예시일 뿐입니다. 다른 예로는 MySQL/Aurora 액세스용 3306, PostgreSQL 액세스용 5432, Amazon Redshift 액세스용 5439, Oracle 액세스용 1521 등이 있습니다.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

130

2001:db8:1234:1a00::/64

TCP

32768-65535

허용

퍼블릭 서브넷에 대한 아웃바운드 응답 허용(예: 퍼블릭 서브넷에서 프라이빗 서브넷의 DB 서버와 통신하는 웹 서버에 대한 응답).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)

시나리오 4를 위한 권장 규칙

시나리오 4는 VPN 연결을 통해 홈 네트워크하고만 통신할 수 있는 인스턴스를 가진 단일 서브넷입니다. 자세한 내용은 시나리오 4: 프라이빗 서브넷만 있고 AWS 관리형 VPN 액세스를 제공하는 VPC를 참조하십시오.

다음 표에는 권장되는 규칙이 나와 있습니다. 이 규칙은 명시적으로 요구되는 트래픽을 제외한 모든 트래픽을 차단합니다.

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

100

홈 네트워크의 프라이빗 IP 주소 범위

TCP

22

허용

홈 네트워크에서 서브넷으로의 인바운드 SSH 트래픽 허용.

110

홈 네트워크의 프라이빗 IP 주소 범위

TCP

3389

허용

홈 네트워크에서 서브넷으로의 인바운드 RDP 트래픽 허용.

120

홈 네트워크의 프라이빗 IP 주소 범위

TCP

32768-65535

허용

서브넷에서 발신되는 요청에서 발생하는 인바운드 리턴 트래픽 허용(해당되는 경우).

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 인바운드 트래픽 거부(수정 불가).

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

100

홈 네트워크의 프라이빗 IP 주소 범위

모두

모두

허용

서브넷에서 홈 네트워크로의 모든 아웃바운드 트래픽 허용. 이 규칙에는 규칙 120도 포함되지만, 특정 프로토콜 유형과 포트 번호를 사용하여 이 규칙을 더 제한적으로 만들 수 있습니다. 이 규칙을 더 제한적으로 만드는 경우, 네트워크 ACL에 규칙 120을 포함하여 아웃바운드 응답이 차단되지 않도록 해야 합니다.

120

홈 네트워크의 프라이빗 IP 주소 범위

TCP

32768-65535

허용

홈 네트워크의 클라이언트에 대한 아웃바운드 응답을 허용합니다.

이 범위는 예시일 뿐입니다. 구성에 맞는 올바른 임시 포트 선택에 대한 자세한 정보는 휘발성 포트 단원을 참조하십시오.

*

0.0.0.0/0

all

all

DENY

이전 규칙에서 처리하지 않은 모든 아웃바운드 트래픽 거부(수정 불가).

IPv6를 위한 권장 규칙

IPv6 지원을 통해 시나리오 4를 구현하고 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 생성한 경우, 네트워크 ACL에 별도의 규칙을 추가하여 인바운드 및 아웃바운드 IPv6 트래픽을 제어해야 합니다.

이 시나리오에서 데이터베이스 서버는 IPv6를 통해 VPN 통신으로 접속할 수 없습니다. 따라서 추가 네트워크 ACL 규칙은 필요 없습니다. 다음은 서브넷으로 가는, 그리고 서브넷으로부터 발생하는 IPv6 트래픽을 거부하는 기본 규칙입니다.

VPN 전용 서브넷의 ACL 규칙

인바운드
규칙 # 소스 IP 프로토콜 포트 허용/거부 설명

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가)

아웃바운드
규칙 # 대상 IP 프로토콜 포트 허용/거부 설명

*

::/0

all

all

DENY

이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가)