네트워크 ACL

네트워크 ACL도 있는데 이것은 서브넷 경계의 방화벽이라고 할 수 있고 서브넷을 생성할 때 VPC와 연결되어 있어 특별히 설정할 건 없다.

인바운드 규칙과 아웃바운드 규칙이 모두 허용되어 있다.

VPC만들고 인스턴스를 생성할 때 보안그룹만 설정하면 되고 NACL은 열어두면 된다.

 

상태비저장(stateless) : 들어온 인바운드를 열면 나가는 것도 설정해야 함

보안 그룹은 해당 세션을 기억하고 있다가 나가는 것도 자동으로 나가지는데

NACL의 경우 들어오는 세션, 나가는 세션 둘 다 따로 만들어야 함. 즉, 허용 거부를 수립할 수 있다.

Ex.해당 IP차단: 일시적으로 빠르게 대응할 수 있는 방법(디도스 공격 등)

 

룰넘버가 작은 순서대로 순차적으로 검사, 모든 트래픽 허용

 

Cisco기기의 access list처럼 모든 Access-list 마지막에는 모든 트래픽을 차단하라는 의미의 [Standard: deny any], [Extended: deny ip any any]가 생략되어 있다.

즉 모든 트래픽에 deny가 들어가 있어서 access-list 1 permit any로 전부 허가 해준 것 처럼

NACL에서도 같은 이론이 적용되어 있는 것이다.