본문 바로가기
네트워크 & 클라우드/AWS

[AWS.02-01] Network Firewall

김냥코오 2022. 7. 21. 11:40
테스트 구성 

  - ANFe가 구성될 subnet 생성 (엔드포인트와 같은 서브넷의 리소스들은 보안정책 적용이 안됨, 서브넷을 분리하자 아래 그림처럼!)

  - Firewall Endpoint의 Type은 GWLB endpoint임. 서드파티 솔루션을 구성할때 GWLB를 사용하는 것과 유사한 구성이 됨. 하지만 GWLB 관련 설정을 할 필욘 없다. 

  - ELB가 구성될 subnet 생성 

  - IGW에 ingress routing table 연결 (엣지 연결) - ingress traffic의 분기를 위함 (IGW > ANFe subnet 1, 2로)

  - IGW > ANFe > ELB  > Instance 구성이 가능하도록 라우팅 설정

  - 방화벽 + 정책 + 규칙그룹

이 이미지를 참고해서 테스트 해봄

규칙 순서

 

stateless의 기본 action
 통과(PASS) : 묵시적 Permit, DROP/PASS 정책 적용가능 (BLACKLIST)

출발지는 PAT IP이다!
차단(삭제) 설정한 10.0.2.196(Web02)만 차단. 나머진 허용(묵시적 Permit)

삭제(DROP) : 묵시적 DROP, PASS/DROP 정책 적용이 먹히지 않음. (ALL DROP)

작업은 삭제로 하였다.
허용(통과) 정책을 적용해보았다.
둘다 안된다...허용을 넣었는데 안먹힌다...어떻게 사용해야하는 방화벽인가..

stateful의 기본 action
 기본값(DEFAULT) : 묵시적 PASS, stateful 엔진의 규칙 평가 순서로 결정 (BLACKLIST)

규칙순서 = 기본값 = 시퀀스 없음...
이번엔 1번 서버를 삭제해보았다.
2번 서버는 묵시적 허용에 의해서 처리된다!

" Stateful 엔진에 의한 정책 순서 확인"이라는 문구를 테스트 해보자!

 

- 동일규칙 삭제/통과 적용 (통과가 아래에 있을 때)

동일한 정책으로 삭제와 통과를 넣었다
삭제보다 통과가 더 우선순위가 높은듯 하다

 

- 동일규칙 삭제/통과 적용 (통과가 위에 있을 때)

삭제가 위에 있었는데도 안됐지만, 순서를 바꿔보기로 하자
이런 역시나 통과가 더 우선한다.

엄격(STRICT) : 평가하려는 순서대로 규칙 제공
엄격 - 모두 삭제 : 통과 정책을 넣어도 all drop  

- 목적지 웹서버1,2 모두 통과 정책

모니터 설정때문에 늘어났다. 둘다 통과(허용) 정책을 적용하였다

- 결과 : 둘다 blocked

역시나 둘다 blocked이다. 이 방화벽은 어떻게 활용해야 하는가? 시즌2

삭제 설정됨 ('설정된 연결에 있는 패킷만 삭제합니다.'로 의역함) : 통과 정책을 넣으면 우선순위에 따라 허용됨

 

설정된 연결에 있는 패킷만 삭제 > 묵시적 Deny로 해석해볼까?

- 통과 정책 위에 삭제 정책 설정 

2번 웹서버에 대해 삭제와 통과 정책을 순서대로 적용해보았다.

- 결과 : Drop

첫번째 시퀀스인 삭제가 먹혔다.

 

- 통과 정책 아래에 삭제 정책 설정

정책 순서를 바꿔보았다. 2번 웹서버 통과가 위로!

- 결과 : web 2서버만 허용

웹서버 1번 안됨.
웹서버 2번 됨. 나머지는 안되는거 보니 묵시적 차단이 걸려있는듯.

- 이상한점 : web02만 규칙적용하고 접속되는 것 확인. 

2번 웹서버만 허용함

 

역시나 1번 웹서버는 안됨
역시나 2번 웹서버는 됨

다만, 별 이상한 포트도 허용됐다고 나옴;;;

그런데 허용도 안한 1번 웹서버의 2899포트가 된다?! 이게 뭐지..

******************************** 추가테스트 **********************************

 - HTTP ALL DENY 규칙 그룹 생성 후 우선순위를 가장 높게 설정하면, 통과 정책 안먹음.

> 규칙그룹 순서 잘 먹힘 (규칙의 순서가 아니라 규칙 그룹의 순서)

 

 

 

- 우선순위 조정하면 통과 정책 먹음 > <

 

https://docs.aws.amazon.com/ko_kr/network-firewall/latest/developerguide/suricata-rule-evaluation-order.html

 

Evaluation order for stateful rule groups - AWS Network Firewall

Evaluation order for stateful rule groups All of your stateful rule groups are provided to the rule engine as Suricata compatible strings. Suricata can evaluate stateful rule groups by using the default rule group ordering method, or you can set an exact o

docs.aws.amazon.com

 

결론

NACL은 VPC당 200개 생성가능하며, NACL 당 20개의 규칙을 적용할 수 있다.

반면에 Network Firewall은 규칙 그룹당 30,000개의 규칙을 설정할 수 있으며, VPC 및 계정당 20개의 규칙 그룹을 설정할 수 있음.

VPC 혹은 서브넷에 대한 통신을 제어할 수 있어, NACL을 어느정도 대체 할 수 있어 보임

 

참고로 Security Group의 경우 VPC당 500개 생성 가능하며, SG당 60개의 룰을 적용할 수 있다.

'네트워크 & 클라우드 > AWS' 카테고리의 다른 글

[AWS.02-03] AWS Network Firewall (Suricata)  (0) 2022.07.21
[AWS.02-02] AWS Network Firewall (테스트 요약)  (0) 2022.07.21
[AWS.01] Route53 Resolver DNS Firewall  (0) 2022.07.21
7. AWS Transit Gateway (수정 중)  (0) 2022.06.19
6. AWS ELB(ALB/NLB) 차이  (0) 2022.06.19

'네트워크 & 클라우드/AWS' Related Articles

티스토리툴바