Firewall Manager가 방화벽 서브넷을 관리하는 방법 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager가 방화벽 서브넷을 관리하는 방법

이 섹션에서는 Firewall Manager가 방화벽 서브넷을 관리하는 방법을 설명합니다.

방화벽 서브넷은 Firewall Manager가 네트워크 트래픽을 필터링하는 방화벽 엔드포인트에 대해 생성하는 VPC 서브넷입니다. 각 방화벽 엔드포인트는 전용 VPC 서브넷에 배포해야 합니다. Firewall Manager는 정책의 범위 내에 VPC 있는 각 방화벽 서브넷에 하나 이상의 방화벽 서브넷을 생성합니다.

자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 서브넷 또는 Firewall Manager가 정책용으로 만든 방화벽 엔드포인트로 연결되는 경로가 있는 서브넷이 있는 가용 영역에만 방화벽 서브넷을 생성합니다. 자세한 내용은 Amazon VPC 사용 설명서VPCs 및 서브넷을 참조하세요.

Firewall Manager가 방화벽 엔드포인트를 생성할 가용 영역을 지정하는 분산 또는 중앙 집중식 모델을 사용하는 정책의 경우, Firewall Manager는 가용 영역에 다른 리소스가 있는지 여부에 관계없이 특정 가용 영역에 엔드포인트를 생성합니다.

네트워크 방화벽 정책을 처음 정의할 때 Firewall Manager가 범위에 VPCs 있는 각 에서 방화벽 서브넷을 관리하는 방법을 지정합니다. 나중에 이 선택 항목을 변경할 수 없습니다.

자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 다음 옵션 중에서 선택할 수 있습니다.

  • 퍼블릭 서브넷이 있는 모든 가용 영역에 방화벽 서브넷을 배포합니다. 이는 기본 설정 동작입니다. 이는 트래픽 필터링 보호의 고가용성을 제공합니다.

  • 1개의 가용 영역에 단일 방화벽 서브넷을 배포합니다. 이 옵션을 선택하면 Firewall Manager는 에서 퍼블릭 서브넷VPC이 가장 많은 영역을 식별하고 방화벽 서브넷을 생성합니다. 단일 방화벽 엔드포인트는 의 모든 네트워크 트래픽을 필터링합니다VPC. 이렇게 하면 방화벽 비용을 줄일 수 있지만 가용성이 높지는 않으며 필터링하려면 다른 영역의 트래픽이 영역 경계를 넘어야 합니다.

사용자 지정 엔드포인트가 구성된 분산 배포 모델 또는 중앙 집중식 배포 모델을 사용하는 정책의 경우 Firewall Manager는 정책 범위 내에 있는 지정된 가용 영역에 서브넷을 생성합니다.

Firewall Manager가 방화벽 서브넷에 사용할 VPC CIDR 블록을 제공하거나 선택한 방화벽 엔드포인트 주소를 Firewall Manager에 그대로 두어 확인할 수 있습니다.

  • CIDR 블록을 제공하지 않으면 Firewall Manager는 사용할 수 있는 IP 주소를 VPCs 에 쿼리합니다.

  • CIDR 블록 목록을 제공하는 경우 Firewall Manager는 제공하는 CIDR 블록에서만 새 서브넷을 검색합니다. /28 CIDR 블록을 사용해야 합니다. Firewall Manager가 생성하는 각 방화벽 서브넷에 대해 CIDR 블록 목록을 표시하고 가용 영역에 적용 가능하고 VPC 사용 가능한 주소가 있는 첫 번째 방화벽 서브넷을 사용합니다. Firewall Manager가 에서 열린 공간을 찾을 수 없는 경우VPC(제한 포함 또는 미포함) 서비스는 에서 방화벽을 생성하지 않습니다VPC.

Firewall Manager가 가용 영역에 필수 방화벽 서브넷을 만들 수 없는 경우 해당 서브넷을 정책을 준수하지 않는 것으로 표시합니다. 영역이 이 상태에 있는 동안 다른 영역의 엔드포인트에 의해 필터링되려면 해당 영역의 트래픽이 영역 경계를 넘어야 합니다. 이는 단일 방화벽 서브넷 시나리오와 유사합니다.