AWS 네트워크 방화벽 - 상태 유지 기본 작업

AWS 네트워크 방화벽 - 상태 유지 기본 작업

AWS 네트워크 방화벽

TCP 연결 과정

1. 신규 연결(New): 3-way handshake (SYN → SYN/ACK → ACK)
2. 설정된 연결(Established): 실제 데이터 송수신 (예: SSH 로그인 후 명령 실행)
3. 연결 종료(Teardown): FIN 또는 RST 패킷 교환

기본 작업 옵션별 시나리오

(예: SSH 접속 192.168.0.10 → 서버 192.168.0.20)

1. 모두 삭제 (Drop all)

• 신규 연결 시도 → 차단
• 이미 연결된 SSH 세션도 → 끊김

➡️ 화이트리스트 방식. 규칙에 없는 건 전부 막음.

2. 삭제 설정됨 (Drop established)

• 신규 연결 시도 (새로운 SSH 접속 시도) → 규칙 없으면 차단
• 이미 연결된 SSH 세션에서 명령어 입력 (데이터 송수신) → 차단됨 (세션 끊김)

➡️ 즉, 기존 연결까지 모두 끊어버리는 강력한 정책.

➡️ "이미 연결된 트래픽도 용납하지 않는다"는 의미.

3. 모두 알림 (Alert all)

• 신규 연결 시도 → 허용 + 로그 남김
• 이미 연결된 세션 데이터 송수신 → 허용 + 로그 남김

➡️ IDS 모드처럼 동작 (탐지만 하고 차단은 안 함).

4. 알림 설정됨 (Alert established)

• 신규 연결 시도 → 규칙 없으면 차단
• 이미 연결된 세션 데이터 송수신 → 허용 + 로그 남김

➡️ "기존 연결은 유지하되 모니터링" 용도로 적합.

SSH 세션 예시

옵션	신규 연결 시도	기존 연결 동작	특징
모드 삭제	차단	끊김	화이트리스트, 보안 강력
삭제 설정됨	차단	끊김	기존 연결도 차단(더 강력)
모두 알림	허용 + 로그	허용 + 로그	IDS 모드
알림 설정됨	차단	허용 + 로그	기존 연결 유지 + 탐지