[AWS.02-02] AWS Network Firewall (테스트 요약)

- Firewall > Policy > Rule Group 순으로 연결

- Firewall과 Policy는 1:1 매치

- Policy 내에서 Stateless, Stateful 모두 설정 가능하나, 선택사항들은 하나씩 밖에 설정 못함

- Rule Group은 여러개 설정 가능

---

[Stateless]

- Default Action

   a) 통과 (Pass) : 패킷의 모든 검사를 중지하고 패킷이 원래 목적지로 가도록 허용

                             --> Default Permit이며, 블랙리스트 방식으로 운영 가능

Web02서버 삭제(drop) 적용

web02 정책에 의해 drop, web01 묵시적 permit에 의해 pass

 

  b) 삭제 (Drop) : 패킷의 모든 검사를 중지하고 패킷이 원하는 대상으로 가지 않도록 차단

                             --> Default Deny이며, 어떤 정책을 넣어도 동작 안함

Web02서버 통과(pass) 적용

통과 정책 안먹음

   c) 상태 저장 규칙으로 전달 (Forward to Stateful rules)

---

[Stateful]

- Default Action

  a) 규칙순서 - 기본값(Default) : 수리카타는 기본적으로 삭제 또는 알림 규칙을 평가하기 전에 모든 통과 규칙을 평가

      (Suricata evaluates all pass rules before evaluating any drop or alert rules by default, regardless of the value of priority settings)

web01서버로의 삭제/통과 정책 적용(동일한 정책)

통과 위에 삭제를 넣어도 통과가 먼저 먹힌다.(순서x)

 

b) 규칙순서 - 엄격(Strict)

  1)  전체 삭제 (Drop All - Drop All Packets) : 모든 패킷을 삭제함 

web01, web02에 대해 통과정책 적용

둘 다 Blocked

  2)  설정된 패킷 삭제 (Drop Established - Drop Established Packet) : 설정된 연결에 있는 패킷만 삭제합니다. 이것은 상위 계층 연결을 설정하는 데 필요한 계층 3 및 4 연결 설정 패킷을 허용하고 이미 설정된 연결을 위한 패킷을 삭제합니다. 이를 통해 기본 프로토콜의 하위 계층 핸드셰이킹 부분을 허용하기 위해 추가 규칙을 작성할 필요 없이 응용 계층 통과 규칙을 기본 거부 설정으로 작성할 수 있다.

(Drops only the packets that are in established connections. This allows the layer 3 and 4 connection establishment packets that are needed for the upper-layer connections to be established, while dropping the packets for connections that are already established. This allows application-layer pass rules to be written in a default-deny setup without the need to write additional rules to allow the lower-layer handshaking parts of the underlying protocols.)

web02의 통과 규칙 적용, 하단의 삭제, web01 규칙은 적용 x

묵시적 Deny로 인한 drop

drop 규칙 위에 pass 규칙 적용하여 통신 정상