AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

웹 ACL 생성

웹 ACL을 생성하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/waf/에서 AWS WAF 콘솔을 엽니다.

  2. 이번이 AWS WAF를 처음 사용하는 경우 Go to AWS WAF(로 이동)를 선택한 다음 Configure Web ACL(웹 ACL 구성)을 선택합니다. AWS WAF를 사용한 적이 있는 경우 탐색 창에서 Web ACL(웹 ACL)을 선택한 다음 Create web ACL(웹 ACL 생성)을 선택합니다.

  3. Web ACL name(웹 ACL 이름)에서 이름을 입력합니다.

    참고

    웹 ACL을 생성한 후에는 이름을 변경할 수 없습니다.

  4. CloudWatch metric name( 지표 이름)에서 기본 이름을 변경합니다(적용되는 경우). 이름은 영숫자(A-Z, a-z, 0-9) 또는 특수 문자(_-!"#`+*},./)만 포함할 수 있습니다. 공백은 포함될 수 없습니다.

    참고

    웹 ACL을 생성한 후에는 이름을 변경할 수 없습니다.

  5. Region에서 리전을 선택합니다.

  6. AWS resource( 리소스)에서 이 웹 ACL과 연결할 리소스를 선택한 후 다음을 선택합니다.

  7. AWS WAF에서 웹 요청을 검사하는 데 사용할 조건을 이미 생성한 경우 다음을 선택하고 다음 단계로 계속합니다.

    조건을 아직 생성하지 않은 경우 지금 생성합니다. 자세한 정보는 다음 항목을 참조하십시오.

  8. 웹 ACL에 추가하려는 규칙 또는 규칙 그룹(또는 AWS 마켓플레이스 규칙 그룹에 가입)을 이미 생성한 경우 웹 ACL에 규칙을 추가하십시오.

    1. [Rules] 목록에서 규칙을 선택합니다.

    2. [Add rule to web ACL]을 선택합니다.

    3. 이 웹 ACL에 추가하려는 규칙을 모두 추가할 때까지 a단계와 b단계를 반복합니다.

    4. 10단계로 이동합니다.

  9. 규칙을 아직 생성하지 않은 경우 지금 규칙을 추가할 수 있습니다.

    1. [Create rule]을 선택합니다.

    2. 다음 값을 입력합니다.

      이름

      이름을 입력합니다.

      CloudWatch 지표 이름

      에서 생성하여 규칙과 연결할 지표의 이름을 입력합니다. 이름에는 영숫자(A-Z, a-z, 0-9)만 포함될 수 있습니다. 공백은 포함될 수 없습니다.

      참고

      규칙을 생성한 후에는 척도 이름을 변경할 수 없습니다.

    3. 조건을 규칙에 추가하려면 다음 값을 지정합니다.

      요청이 다음과 같을 때/같지 않을 때

      AWS WAF에서 조건의 필터를 기반으로 요청을 허용하거나 차단하려면(예: IP 주소 192.0.2.0/24의 범위에서 시작되는 웹 요청) does(실행)를 선택합니다.

      AWS WAF에서 조건에 있는 필터의 역을 기반으로 요청을 허용하거나 차단하려는 경우 does not(실행 안 함)을 선택합니다. 예를 들어, IP 일치 조건에 IP 주소 범위 192.0.2.0/24가 포함되고 AWS WAF에서 해당 IP 주소에서 나오지 않은 요청을 허용하거나 차단하려는 경우 does not(실행 안 함)을 선택합니다.

      일치/시작

      규칙에 추가할 조건 유형을 선택합니다.

      • 교차 사이트 스크립팅 일치 조건 – match at least one of the filters in the cross-site scripting match condition(교차 사이트 스크립팅 일치 조건에서 필터 1개 이상 일치)을 선택합니다.

      • IP 일치 조건 – originate from an IP address in(IP 주소에서 시작)을 선택합니다.

      • 지역 일치 조건 – originate from a geographic location in(지역 일치에서 시작)을 선택합니다.

      • 크기 제약 조건 – match at least one of the filters in the size constraint condition(크기 제약 조건에서 필터 1개 이상 일치)을 선택합니다.

      • SQL 명령어 주입 일치 조건 – match at least one of the filters in the SQL injection match condition(SQL 명령어 주입 일치 조건에서 필터 1개 이상 일치)을 선택합니다.

      • 문자열 일치 조건 – match at least one of the filters in the string match condition(문자열 일치 조건에서 필터 1개 이상 일치)을 선택합니다.

      • 정규식 일치 조건 – match at least one of the filters in the regex match condition(정규식 일치 조건에서 필터 1개 이상 일치)을 선택합니다.

      조건 이름

      규칙에 추가할 조건을 선택합니다. 이 목록에는 이전 목록에서 선택한 유형의 조건만 표시됩니다.

    4. 규칙에 다른 조건을 추가하려면 다른 조건 추가를 선택한 다음 b단계 및 c단계를 반복합니다. 다음 사항에 유의하십시오.

      • 두 개 이상의 조건을 추가하는 경우 AWS WAF에서 특정 규칙을 기반으로 요청을 허용하거나 차단하려면 웹 요청은 모든 조건에서 최소 하나 이상의 필터와 일치해야 합니다.

      • 두 개의 IP 일치 조건을 동일한 규칙에 추가하는 경우 AWS WAF는 두 개의 IP 일치 조건에 모두 나타나는 IP 주소에서 시작되는 요청만 허용하거나 차단합니다.

    5. 이 웹 ACL에 추가하려는 규칙을 모두 생성할 때까지 9단계를 반복합니다.

    6. Create를 선택합니다.

    7. 10단계로 계속합니다.

  10. 웹 ACL에 추가한 각 규칙에 대해 AWS WAF에서 규칙의 조건을 기반으로 웹 요청을 허용할지, 차단할지 또는 계수할지를 선택합니다.

    • 허용 – API 게이트웨이, CloudFront 또는 Application Load Balancer가 요청된 객체로 응답합니다. CloudFront의 경우 객체가 엣지 캐시에 없으면 CloudFront는 요청을 오리진에 전달합니다.

    • 차단 – API 게이트웨이, CloudFront 또는 Application Load Balancer가 HTTP 403(사용 권한 없음) 상태 코드로 요청에 응답합니다. CloudFront은 사용자 지정 오류 페이지로 응답할 수도 있습니다. 자세한 내용은 사용자 지정 오류 페이지가 있는 사용 단원을 참조하십시오.

    • 개수 – AWS WAF는 규칙의 조건과 일치하는 요청의 카운터를 증가시킨 다음 웹 ACL의 나머지 규칙을 기반으로 웹 요청을 계속 검사합니다.

      웹 ACL을 사용하여 웹 요청을 허용하거나 차단하기 전에 [Count ]를 사용하여 웹 ACL을 테스트하는 방법에 대한 자세한 내용은 웹 ACL에서 규칙과 일치하는 웹 요청 계산 단원을 참조하십시오.

    참고

    웹 ACL에 규칙 그룹 및 AWS Marketplace 규칙 그룹을 추가할 때(단일 규칙과는 다름) 규칙 그룹에 대해 설정한 작업(No override(재정의 없음) 또는 Override to count(계수하도록 재정의))을 재정의 작업이라고 합니다. 자세한 내용은 규칙 그룹 재정의 단원을 참조하십시오.

  11. 웹 ACL에서 규칙 순서를 변경하려는 경우 주문 열의 화살표를 사용합니다. AWS WAF는 웹 ACL에 규칙이 나타나는 순서를 기반으로 웹 요청을 검사합니다.

  12. 웹 ACL에 추가한 규칙을 제거하려는 경우 규칙에 대한 행에서 [x]를 선택합니다.

  13. 웹 ACL에 대한 기본 작업을 선택합니다. 이 작업은 웹 요청이 이 웹 ACL의 규칙 중 하나에 있는 조건과 일치하지 않을 때 AWS WAF에서 수행하는 작업입니다. 자세한 내용은 웹 ACL에 대한 기본 작업 결정 단원을 참조하십시오.

  14. [Review and create]를 선택합니다.

  15. 웹 ACL에 대한 설정을 검토한 후 [Confirm and create]를 선택합니다.