[AWS 기본 인프라 구성] 네트워크 관련 기능 - NACL

NACL(Network Access Control List)

• 접근 제어 리스트
• 패킷의 IP와 Port 정보를 기반으로 Subnet 수준에서 트래픽을 허용 / 거부 할지 결정하는 정책 리스트
   

NACL 사용 형태

 

NACL - AWS

• AWS NACL 은 Subnet 접근 제어 역할
• Subnet 당 하나의 NACL 설정
• NACL은 여러 Subnet과 연결 가능하다.
• NACL 당 최대 40 개 Rule 설정 가능 (inbound 20 / outbound 20)
• Subnet 내의 자원에 접근해야 하는 경우 거쳐야 하는 방화벽이라 이해하면 된다.
   

NACL 트래픽 제어

• ACL 적용 대상인 Subnet을 기준으로
  • 유입되는 트래픽에 대한 제어 : Inbound Rule
  • 나가는 트래픽에 대한 제어 : Outbound Rule
     

NACL 특징

• VPC 생성 시 자동으로 Default NACL 생성
  • default NACL 에는 기본적으로 내/외부 모든 통신이 허락된 경로가 설정되어 있음

• Subnet은 하나의 NACL과 연결될 수 있음
  • 초기 생성 시 Default NACL과 연결되므로, 직접 생성한 Custom NACL 연결 시, Subnet에 해당 NACL을 설정해 주어야 함
• Rule set은 낮은 번호 정책 부터 우선 평가
  • 명시적으로 허용 또는 거부 되는 정책을 만날 때까지 순차적으로 평가
  • 동일 Rule set 번호는 설정 불가. 번호는 최대 32766 번까지 설정 가능
  • Rule set 관리의 편의를 위해 100 단위로 지정하는 것을 권고
     

NACL 규칙 지정

• 규칙 번호가 낮은 것부터 우선 적용이 되고 이미 적용이 된 것은 밑의 Rule까지 가지 않는다.
• 22번 Port는 100번 대에서 DENY이 되었기 때문에 200번 대 ALLOW 정책이 적용 되지 않는다.
• 마찬가지로 * 번 대의 ALL Traffic DENY 또한 200번 대의 ALLOW 정책 때문에 적용 되지 않는다.
   

NACL 요구사항

 

NACL 아키텍처

• 기존 아키텍처

• NACL 추가

• Rule 추가

 

NACL 요구사항

 

학습 내용 정리

• NACL
• 트래픽 제어
• NACL 규칙