Amazon VPC 네트워크 액세스 제어 목록 (ACL) 정책 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced
네트워크 ACL 규칙 및 태깅초기 네트워크 ACL 관리관리형 네트워크 ACL의 수정네트워크 ACL 규정 준수 보고모범 사례경고네트워크 ACL 정책 삭제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon VPC 네트워크 액세스 제어 목록 (ACL) 정책

이 섹션에서는 AWS Firewall Manager 네트워크 ACL 정책의 작동 방식을 다루고 이를 사용하기 위한 지침을 제공합니다. 콘솔을 사용하여 네트워크 ACL 정책을 생성하는 방법에 대한 지침은 을 참조하십시오. 네트워크 ACL 정책 생성

Amazon VPC 네트워크 액세스 제어 목록 (ACL) 에 대한 자세한 내용은 Amazon VPC 사용 설명서의 네트워크 ACL을 사용하여 서브넷으로의 트래픽 제어를 참조하십시오.

Firewall Manager 네트워크 ACL 정책을 사용하여 조직의 Amazon VPC (가상 사설 클라우드) 네트워크 액세스 제어 목록 (ACL) 을 관리할 수 있습니다. AWS Organizations정책의 네트워크 ACL 규칙 설정과 설정을 적용할 계정 및 서브넷을 정의합니다. Firewall Manager는 조직 전체에서 추가되거나 업데이트되는 계정 및 서브넷에 정책 설정을 지속적으로 적용합니다. 정책 범위 및 AWS Organizations에 대한 자세한 내용은 AWS Organizations 사용 설명서를 참조하십시오AWS Firewall Manager 정책 범위.

Firewall Manager 네트워크 ACL 정책을 정의할 때는 이름 및 범위와 같은 표준 Firewall Manager 정책 설정 외에도 다음을 제공합니다.

  • 인바운드 및 아웃바운드 트래픽 처리에 대한 첫 번째 및 마지막 규칙. Firewall Manager는 정책 범위에 속하는 네트워크 ACL에서 이러한 ACL의 존재 및 순서를 적용하거나 규정 미준수를 보고합니다. 개별 계정은 정책의 첫 번째 규칙과 마지막 규칙 사이에서 실행할 사용자 지정 규칙을 만들 수 있습니다.

  • 수정으로 인해 네트워크 ACL의 규칙 간에 트래픽 관리 충돌이 발생할 수 있는 경우 강제로 수정을 적용할지 여부 이는 정책에 대한 수정이 활성화된 경우에만 적용됩니다.

Firewall Manager 네트워크 ACL 규칙 및 태깅

이 섹션에서는 네트워크 ACL 정책 규칙 사양과 Firewall Manager에서 관리하는 네트워크 ACL에 대해 설명합니다.

관리형 네트워크 ACL에 태그 지정

Firewall Manager는 값이 인 태그로 관리형 네트워크 ACL에 FMManaged 태그를 지정합니다. true Firewall Manager는 이 태그 설정이 있는 네트워크 ACL에 대해서만 문제 해결을 수행합니다.

정책에서 정의하는 규칙

네트워크 ACL 정책 사양에서는 인바운드 트래픽에 대해 첫 번째 및 마지막으로 실행할 규칙과 아웃바운드 트래픽에 대해 처음 및 마지막으로 실행할 규칙을 정의합니다.

기본적으로 정책의 첫 번째 규칙과 마지막 규칙을 조합하여 사용할 인바운드 규칙을 최대 5개까지 정의할 수 있습니다. 마찬가지로 아웃바운드 규칙을 최대 5개까지 정의할 수 있습니다. 이러한 제한에 대한 자세한 내용은 을 참조하십시오소프트 할당량. 네트워크 ACL의 일반 한도에 대한 자세한 내용은 Amazon VPC 사용 설명서의 네트워크 ACL에 대한 Amazon VPC 할당량을 참조하십시오.

정책 규칙에 규칙 번호를 할당하지 마십시오. 대신 평가하려는 순서대로 규칙을 지정하면 Firewall Manager는 이 순서를 사용하여 관리하는 네트워크 ACL에 규칙 번호를 할당합니다.

이 외에는 Amazon VPC를 통해 네트워크 ACL에서 규칙을 관리하는 것처럼 정책의 네트워크 ACL 규칙 사양을 관리합니다. Amazon VPC의 네트워크 ACL 관리에 대한 자세한 내용은 Amazon VPC 사용 설명서의 네트워크 ACL을 사용한 서브넷 트래픽 제어 및 네트워크 ACL 사용을 참조하십시오.

관리형 네트워크 ACL의 규칙

Firewall Manager는 개별 계정 관리자가 정의하는 사용자 지정 규칙의 앞뒤에 정책의 첫 번째 규칙과 마지막 규칙을 배치하여 관리하는 네트워크 ACL에서 규칙을 구성합니다. Firewall Manager는 사용자 지정 규칙의 순서를 유지합니다. 네트워크 ACL은 번호가 가장 낮은 규칙부터 시작하여 평가됩니다.

Firewall Manager는 네트워크 ACL을 처음 생성할 때 다음과 같은 번호를 사용하여 규칙을 정의합니다.

  • 첫 번째 규칙: 1, 2,... — Firewall Manager 네트워크 ACL 정책에서 사용자가 정의합니다.

    Firewall Manager는 정책 사양에서 순서에 따라 규칙을 정렬하여 1부터 시작하여 1씩 증가하는 규칙 번호를 할당합니다.

  • 사용자 지정 규칙: 5,000, 5,100,... — Amazon VPC를 통해 개별 계정 관리자가 관리합니다.

    Firewall Manager는 이러한 규칙에 5,000부터 시작하여 이후의 각 규칙에 대해 100씩 증가하는 번호를 할당합니다.

  • 마지막 규칙:... 32,765, 32,766 — Firewall Manager 네트워크 ACL 정책에서 사용자가 정의합니다.

    Firewall Manager는 정책 사양에서 순서에 따라 규칙을 정렬하여 가능한 가장 높은 수인 32766에서 1씩 증가하는 규칙 번호를 할당합니다.

네트워크 ACL을 초기화한 후에는 Firewall Manager가 관리형 네트워크 ACL에서 개별 계정의 변경 내용을 제어하지 않습니다. 정책의 첫 번째 규칙과 마지막 규칙 사이에 번호가 매겨져 있고 첫 번째 규칙과 마지막 규칙이 지정된 순서를 유지한다면 개별 계정은 규정을 준수하지 않고도 네트워크 ACL을 변경할 수 있습니다. 사용자 지정 규칙을 관리할 때는 이 섹션에 설명된 번호 매기기를 준수하는 것이 가장 좋습니다.

Firewall Manager가 서브넷에 대한 네트워크 ACL 관리를 시작하는 방법

Firewall Manager는 Firewall Manager가 생성하고 태그가 설정된 네트워크 ACL에 서브넷을 연결할 때 서브넷에 대한 네트워크 ACL 관리를 시작합니다. FMManaged true

네트워크 ACL 정책을 준수하려면 서브넷의 네트워크 ACL이 정책의 첫 번째 규칙을 먼저 배치하고, 정책에 지정된 순서대로, 마지막 규칙을 마지막에 배치하고, 기타 사용자 지정 규칙을 중간에 배치해야 합니다. 서브넷이 이미 연결되어 있는 비관리형 네트워크 ACL이나 관리형 네트워크 ACL을 통해 이러한 요구 사항을 충족할 수 있습니다.

Firewall Manager가 비관리형 네트워크 ACL과 연결된 서브넷에 네트워크 ACL 정책을 적용하는 경우 Firewall Manager는 다음을 순서대로 확인하고 실행 가능한 옵션을 식별하면 중지합니다.

  1. 연결된 네트워크 ACL이 이미 호환됨 - 현재 서브넷과 연결된 네트워크 ACL이 규정을 준수하는 경우 Firewall Manager는 해당 연결을 그대로 두고 서브넷에 대한 네트워크 ACL 관리를 시작하지 않습니다.

    Firewall Manager는 소유하지 않은 네트워크 ACL을 변경하거나 관리하지 않지만, 규정을 준수하는 한 Firewall Manager는 이를 그대로 두고 정책 준수 여부만 모니터링합니다.

  2. 규정을 준수하는 관리형 네트워크 ACL을 사용할 수 있습니다. - Firewall Manager에서 필요한 구성을 준수하는 네트워크 ACL을 이미 관리하고 있는 경우 이 옵션을 사용할 수 있습니다. 수정이 활성화된 경우 Firewall Manager는 서브넷을 해당 수정에 연결합니다. 문제 해결을 사용하지 않도록 설정한 경우 Firewall Manager는 서브넷을 비준수로 표시하고 네트워크 ACL 연결 교체를 문제 해결 옵션으로 제공합니다.

  3. 규정을 준수하는 새 관리형 네트워크 ACL 생성 - 문제 해결이 활성화된 경우 Firewall Manager는 새 네트워크 ACL을 생성하여 서브넷에 연결합니다. 그렇지 않으면 Firewall Manager는 서브넷을 비호환으로 표시하고 새 네트워크 ACL을 생성하고 네트워크 ACL 연결을 교체하는 수정 옵션을 제공합니다.

이러한 단계가 실패할 경우 Firewall Manager는 서브넷에 대한 비준수 사실을 보고합니다.

Firewall Manager는 서브넷이 처음으로 범위에 포함되고 서브넷의 비관리형 네트워크 ACL이 규정을 준수하지 않을 때 다음 단계를 따릅니다.

Firewall Manager가 규정을 준수하지 않는 관리형 네트워크 ACL을 해결하는 방법

이 섹션에서는 관리형 네트워크 ACL이 정책을 준수하지 않는 경우 Firewall Manager에서 관리형 네트워크 ACL을 수정하는 방법을 설명합니다. Firewall Manager는 태그가 로 설정된 관리형 네트워크 ACL만 수정합니다. FMManaged true Firewall Manager에서 관리하지 않는 네트워크 ACL에 대해서는 을 참조하십시오초기 네트워크 ACL 관리.

수정은 첫 번째 규칙, 사용자 지정 규칙, 마지막 규칙의 상대 위치를 복원하고 첫 번째 규칙과 마지막 규칙의 순서를 복원합니다. 문제 해결 중에 Firewall Manager가 반드시 규칙을 네트워크 ACL 초기화에 사용하는 규칙 번호로 이동하지는 않습니다. 이러한 규칙 범주의 초기 번호 설정 및 설명은 을 참조하십시오. 초기 네트워크 ACL 관리

규정을 준수하는 규칙과 규칙 순서를 설정하기 위해 Firewall Manager는 네트워크 ACL 내에서 규칙을 이동해야 할 수 있습니다. Firewall Manager는 기존의 규정 준수 규칙 순서를 유지함으로써 네트워크 ACL의 보호를 최대한 보존합니다. 예를 들어 규칙을 새 위치에 일시적으로 복제한 다음 원래 규칙을 순서대로 제거하여 프로세스 중에 상대적 위치를 보존할 수 있습니다.

이 방법을 사용하면 설정이 보호되지만 네트워크 ACL에 임시 규칙을 위한 공간도 필요합니다. Firewall Manager가 네트워크 ACL의 규칙 한도에 도달하면 문제 해결이 중단됩니다. 이 경우 네트워크 ACL은 규정을 준수하지 않는 상태로 유지되며 Firewall Manager가 그 이유를 보고합니다.

계정이 Firewall Manager에서 관리하는 네트워크 ACL에 사용자 지정 규칙을 추가했는데 이러한 규칙이 Firewall Manager 문제 해결을 방해하는 경우 Firewall Manager는 네트워크 ACL에서 모든 수정 작업을 중지하고 충돌을 보고합니다.

강제 수정

정책에 자동 수정을 선택하는 경우 첫 번째 규칙 또는 마지막 규칙에 강제로 수정을 적용할지 여부도 지정합니다.

Firewall Manager는 사용자 지정 규칙과 정책 규칙 간에 트래픽 처리 시 충돌이 발생하는 경우 해당하는 강제 수정 설정을 참조합니다. 강제 수정이 활성화된 경우 Firewall Manager는 충돌에도 불구하고 업데이트를 적용합니다. 이 옵션이 활성화되지 않은 경우 Firewall Manager는 문제 해결을 중단합니다. 어느 경우든 Firewall Manager는 규칙 충돌을 보고하고 수정 옵션을 제공합니다.

규칙 수 요구 사항 및 제한

문제 해결 중에 Firewall Manager는 규칙이 제공하는 보호 기능을 변경하지 않고 규칙을 이동하기 위해 규칙을 일시적으로 복제할 수 있습니다.

인바운드 규칙과 아웃바운드 규칙의 경우 Firewall Manager에서 문제 해결을 수행하는 데 필요할 수 있는 최대 규칙 수는 다음과 같습니다.

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

네트워크 ACL과 네트워크 ACL 정책에는 변경 가능한 규칙 제한이 적용됩니다. Firewall Manager는 수정 작업이 한계에 도달하면 수정 시도를 중단하고 규정 미준수를 보고합니다.

Firewall Manager가 수정 작업을 수행할 수 있는 공간을 확보하기 위해 한도 증가를 요청할 수 있습니다. 또는 정책 또는 네트워크 ACL의 구성을 변경하여 사용되는 규칙 수를 줄일 수 있습니다.

네트워크 ACL 한도에 대한 자세한 내용은 Amazon VPC 사용 설명서의 네트워크 ACL에 대한 Amazon VPC 할당량을 참조하십시오.

수정이 실패한 경우

네트워크 ACL을 업데이트하는 동안 어떤 이유로든 Firewall Manager를 중지해야 하는 경우 변경 내용을 롤백하지 않고 대신 네트워크 ACL을 중간 상태로 유지합니다. FMManaged태그가 로 설정된 네트워크 ACL에서 중복된 규칙이 발견되면 Firewall Manager에서 해결 중일 수 있습니다. true 일정 기간 동안 변경이 부분적으로 완료될 수 있지만 Firewall Manager에서 사용하는 수정 방식 때문에 트래픽이 중단되거나 관련 서브넷에 대한 보호 수준이 저하되지는 않습니다.

Firewall Manager는 규정을 준수하지 않는 네트워크 ACL을 완전히 수정하지 않을 경우 관련 서브넷의 비준수 사실을 보고하고 가능한 수정 옵션을 제안합니다.

수정이 실패한 후 재시도

대부분의 경우 Firewall Manager가 네트워크 ACL에 대한 수정 변경을 완료하지 못하면 결국 변경을 재시도합니다.

단, 수정이 네트워크 ACL 규칙 수 제한 또는 VPC 네트워크 ACL 수 한도에 도달하는 경우는 예외입니다. Firewall Manager는 AWS 리소스가 제한 설정을 초과하는 문제 해결 활동을 수행할 수 없습니다. 이러한 경우 계속하려면 개수를 줄이거나 제한을 늘려야 합니다. 한도에 대한 자세한 내용은 Amazon VPC 사용 설명서의 네트워크 ACL에 대한 Amazon VPC 할당량을 참조하십시오.

Firewall Manager 네트워크 ACL 규정 준수 보고

Firewall Manager는 범위 내 서브넷에 연결된 모든 네트워크 ACL의 규정 준수를 모니터링하고 보고합니다.

일반적으로 규칙 순서가 올바르지 않거나 정책 규칙과 사용자 지정 규칙 간의 트래픽 처리 동작이 충돌하는 등의 상황에서 규정 미준수가 발생합니다. 비준수 보고에는 규정 준수 위반 및 해결 옵션이 포함됩니다.

Firewall Manager는 다른 정책 유형과 동일한 방식으로 네트워크 ACL 정책에 대한 규정 준수 위반을 보고합니다. 규정 준수 보고에 대한 자세한 내용은 을 참조하십시오AWS Firewall Manager 정책에 대한 규정 준수 정보 보기.

정책 업데이트 중 규정 미준수

네트워크 ACL 정책을 수정한 후 Firewall Manager가 정책 범위에 속하는 네트워크 ACL을 업데이트할 때까지 Firewall Manager는 해당 네트워크 ACL을 비준수로 표시합니다. Firewall Manager는 네트워크 ACL이 엄밀히 말하면 규정을 준수할 수 있는 경우에도 이 작업을 수행합니다.

예를 들어 정책 사양에서 규칙을 제거해도 범위 내 네트워크 ACL에는 여전히 추가 규칙이 있지만 해당 규칙 정의는 정책을 준수할 수 있습니다. 하지만 추가 규칙은 Firewall Manager에서 관리하는 규칙의 일부이므로 Firewall Manager는 이러한 추가 규칙을 현재 정책 설정을 위반한 것으로 간주합니다. 이는 방화벽 관리자의 관리형 네트워크 ACL에 추가한 사용자 지정 규칙을 Firewall Manager에서 보는 방식과는 다릅니다.

Firewall Manager 네트워크 ACL 정책 사용 모범 사례

이 섹션에는 Firewall Manager 네트워크 ACL 정책 및 관리형 네트워크 ACL을 사용하기 위한 권장 사항이 나와 있습니다.

FMManaged태그를 참조하여 Firewall Manager에서 관리하는 네트워크 ACL을 식별하십시오.

Firewall Manager에서 관리하는 네트워크 ACL에는 FMManaged 태그가 로 true 설정되어 있습니다. 이 태그를 사용하면 사용자 지정 네트워크 ACL을 Firewall Manager를 통해 관리하는 사용자 지정 네트워크 ACL과 구별하는 데 도움이 됩니다.

네트워크 ACL의 FMManaged 태그 값을 수정하지 마세요.

Firewall Manager는 이 태그를 사용하여 네트워크 ACL을 통한 관리 상태를 설정하고 결정합니다.

Firewall Manager에서 관리하는 네트워크 ACL이 있는 서브넷의 연결을 수정하지 마십시오.

서브넷과 Firewall Manager에서 관리하는 네트워크 ACL 간의 연결을 수동으로 변경하지 마십시오. 이렇게 하면 Firewall Manager에서 해당 서브넷에 대한 보호를 관리하는 기능이 비활성화될 수 있습니다. 의 FMManaged true 태그 설정을 찾아 Firewall Manager에서 관리하는 네트워크 ACL을 식별할 수 있습니다.

Firewall Manager 정책 관리에서 서브넷을 제거하려면 Firewall Manager 정책 범위 설정을 사용하여 서브넷을 제외합니다. 예를 들어, 서브넷에 태그를 지정한 다음 해당 태그를 정책 범위에서 제외할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책 범위을 참조하세요.

관리형 네트워크 ACL을 업데이트할 때 Firewall Manager에서 관리하는 규칙을 수정하지 마세요.

Firewall Manager에서 관리하는 네트워크 ACL에서는 에 설명된 번호 지정 체계를 준수하여 사용자 지정 규칙을 정책 규칙과 분리하십시오. Firewall Manager 네트워크 ACL 규칙 및 태깅 5,000에서 32,000 사이의 숫자를 가진 규칙만 추가하거나 수정하십시오.

계정 한도에 규칙을 너무 많이 추가하지 마세요.

네트워크 ACL을 수정하는 동안 Firewall Manager는 일반적으로 네트워크 ACL 규칙 수를 일시적으로 늘립니다. 비준수 문제를 방지하려면 사용 중인 규칙을 위한 충분한 공간이 있어야 합니다. 자세한 정보는 Firewall Manager가 규정을 준수하지 않는 관리형 네트워크 ACL을 해결하는 방법을 참조하세요.

자동 문제 해결이 비활성화된 상태로 시작

자동 문제 해결을 사용하지 않도록 설정한 상태에서 시작한 다음 정책 세부 정보를 검토하여 자동 수정이 미치는 영향을 파악하십시오. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하여 자동 문제 해결을 활성화합니다.

Firewall Manager 네트워크 ACL 정책 경고

이 섹션에는 Firewall Manager 네트워크 ACL 정책 사용에 대한 주의 사항 및 제한 사항이 나와 있습니다.

  • 다른 정책보다 느린 업데이트 시간 — Amazon EC2 네트워크 ACL API가 요청을 처리할 수 있는 속도에 제한이 있기 때문에 Firewall Manager는 일반적으로 네트워크 ACL 정책 및 정책 변경을 다른 Firewall Manager 정책보다 느리게 적용합니다. 다른 Firewall Manager 정책의 유사한 변경 사항보다, 특히 정책을 처음 추가할 때 정책 변경이 더 오래 걸리는 것을 알 수 있습니다.

  • 초기 서브넷 보호의 경우 Firewall Manager는 이전 정책을 선호합니다. 이 정책은 Firewall Manager 네트워크 ACL 정책으로 아직 보호되지 않은 서브넷에만 적용됩니다. 서브넷이 동시에 둘 이상의 네트워크 ACL 정책 범위에 포함되는 경우 Firewall Manager는 가장 오래된 정책을 사용하여 서브넷을 보호합니다.

  • 정책이 서브넷 보호를 중단해야 하는 이유 — 서브넷의 네트워크 ACL을 관리하는 정책은 다음 중 하나가 발생할 때까지 관리를 유지합니다.

    • 서브넷이 정책 범위를 벗어납니다.

    • 정책이 삭제됩니다.

    • 다른 Firewall Manager 정책으로 관리되고 서브넷이 범위 내에 있는 네트워크 ACL로 서브넷 연결을 수동으로 변경합니다.

방화벽 관리자 네트워크 ACL 정책 삭제

Firewall Manager 네트워크 ACL 정책을 삭제하면 Firewall Manager는 해당 정책에 대해 관리하고 있던 모든 네트워크 false ACL에서 FMManaged 태그 값을 로 변경합니다.

또한 정책으로 생성된 리소스를 정리할지 여부를 선택할 수 있습니다. 정리를 선택하면 Firewall Manager는 다음 단계를 순서대로 시도합니다.

  1. 연결을 원래 상태로 되돌리기 — Firewall Manager는 서브넷을 Firewall Manager가 관리를 시작하기 전에 연결된 네트워크 ACL에 다시 연결하려고 합니다.

  2. 네트워크 ACL에서 첫 번째 규칙과 마지막 규칙 제거 - 연결을 변경할 수 없는 경우 Firewall Manager는 정책의 첫 번째 규칙과 마지막 규칙을 제거하고 서브넷과 연결된 네트워크 ACL에는 사용자 지정 규칙만 남깁니다.

  3. 규칙이나 연결에 아무 것도 하지 마십시오. — 위의 작업 중 하나를 수행할 수 없는 경우 Firewall Manager는 네트워크 ACL과 연결을 그대로 유지합니다.

정리 옵션을 선택하지 않으면 정책이 삭제된 후 각 네트워크 ACL을 수동으로 관리해야 합니다. 대부분의 경우 정리 옵션을 선택하는 것이 가장 간단한 접근 방식입니다.