사용자 지정 네트워크 ACL
다음은 IPv4만 지원하는 VPC에 대한 사용자 지정 네트워크 ACL의 예시입니다. 여기에는 HTTP 및 HTTPS 트래픽 수신을 허용하는 인바운드 규칙이 포함됩니다(100 및 110). 휘발성 포트 32768~65535를 포함하는 해당 인바운드 트래픽(140)에 대한 응답을 활성화하는 해당 아웃바운드 규칙이 있습니다. 적절한 휘발성 포트 범위를 선택하는 방법에 대한 자세한 내용은 휘발성 포트 단원을 참조하세요.
이 네트워크 ACL에는 서브넷으로의 SSH 및 RDP 트래픽을 허용하는 인바운드 규칙도 포함됩니다. 아웃바운드 규칙 120은 응답이 서브넷을 떠날 수 있도록 합니다.
이 네트워크 ACL에는 서브넷 외부로의 아웃바운드 HTTP 및 HTTPS 트래픽을 허용하는 아웃바운드 규칙(100 및 110)이 있습니다. 휘발성 포트 32768~65535를 포함하는 해당 아웃바운드 트래픽(140)에 대한 응답을 활성화하는 해당 인바운드 규칙이 있습니다.
각 네트워크 ACL에는 규칙 번호가 별표로 된 기본 규칙이 포함되어 있습니다. 이 규칙은 패킷이 다른 어떤 규칙과도 일치하지 않을 경우에는 거부되도록 되어 있습니다. 이 규칙을 수정하거나 제거할 수 없습니다.
다음 표에서는 IPv4만 지원하는 VPC에 대한 사용자 지정 네트워크 ACL의 인바운드 규칙을 보여줍니다.
| 규칙 # | 유형 | 프로토콜 | 포트 범위 | 소스 | 허용/거부 | 설명 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
허용 |
어떤 IPv4 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
허용 |
어떤 IPv4 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용 |
|
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
허용 |
홈 네트워크의 퍼블릭 IPv4 주소 범위로부터의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해) |
|
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
허용 |
홈 네트워크의 퍼블릭 IPv4 주소 범위로부터 웹 서버로의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해) |
|
140 |
사용자 지정 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
허용 |
인터넷으로부터의 인바운드 리턴 IPv4 트래픽 허용(즉, 서브넷에서 시작되는 요청에 대해). 이 범위는 예시일 뿐입니다. |
|
* |
모든 트래픽 |
모두 |
모두 |
0.0.0.0/0 |
DENY |
이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv4 트래픽 거부(수정 불가) |
다음 표에서는 IPv4만 지원하는 VPC에 대한 사용자 지정 네트워크 ACL의 아웃바운드 규칙을 보여줍니다.
| 규칙 # | 유형 | 프로토콜 | 포트 범위 | 대상 주소 | 허용/거부 | 설명 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
허용 |
서브넷에서 인터넷으로의 아웃바운드 IPv4 HTTP 트래픽 허용 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
허용 |
서브넷에서 인터넷으로의 아웃바운드 IPv4 HTTPS 트래픽 허용 |
| 120 | SSH |
TCP |
1024~65535 |
192.0.2.0/24 |
허용 |
홈 네트워크의 퍼블릭 IPv4 주소 범위로의 아웃바운드 반환 SSH 트래픽이 허용됩니다(인터넷 게이트웨이 경유). |
|
140 |
사용자 지정 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
허용 |
인터넷에서 클라이언트에 대한 아웃바운드 IPv4 응답 허용(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공). 이 범위는 예시일 뿐입니다. |
|
* |
모든 트래픽 |
모두 |
모두 |
0.0.0.0/0 |
DENY |
이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv4 트래픽 거부(수정 불가) |
패킷이 서브넷에 도착할 때, 이를 서브넷이 연결되어 있는 ACL의 인바운드 규칙에 대해 평가합니다(규칙 목록의 맨 위에서 시작하여 맨 아래로 이동). 다음은 패킷이 SSL 포트(443)로 전달되는 경우 평가가 이루어지는 방식입니다. 이 패킷은 처음으로 평가되는 규칙(규칙 100)과 일치하지 않습니다. 이 패킷은 패킷을 서브넷으로 수신되도록 허용하는 두 번째 규칙(110)과도 일치하지 않습니다. 패킷이 포트 139(NetBIOS)로 보내진 경우 어떠한 규칙과도 일치하지 않으며, * 규칙이 최종적으로 해당 패킷을 거부합니다.
광범위한 포트를 합법적으로 열어야 하지만 거부하려는 범위 내에 특정 포트가 있는 경우 거부 규칙을 추가할 수 있습니다. 광범위한 포트 트래픽을 허용하는 규칙보다 거부 규칙을 먼저 테이블에 배치하십시오.
사용 사례에 따라 허용 규칙을 추가합니다. 예를 들어 DNS 확인을 위해 포트 53에서 아웃바운드 TCP 및 UDP 액세스를 허용하는 규칙을 추가할 수 있습니다. 추가하는 모든 규칙에 대해 응답 트래픽을 허용하는 해당 인바운드 또는 아웃바운드 규칙이 있는지 확인합니다.
다음은 연결된 IPv6 CIDR 블록이 있는 VPC에 대한 사용자 지정 네트워크 ACL의 예시입니다. 이 네트워크 ACL에는 모든 IPv6 HTTP 및 HTTPS 트래픽에 대한 규칙이 포함됩니다. 이 경우 IPv4 트래픽에 대한 기존 규칙 사이에 새 규칙이 삽입되었습니다. IPv4 규칙 다음에 규칙을 더 높은 번호의 규칙으로 추가할 수도 있습니다. IPv4 및 IPv6 트래픽은 분리되어 있습니다. 따라서 IPv4 트래픽에 대한 규칙 중 어느 것도 IPv6 트래픽에 적용되지 않습니다.
다음 표에서는 연결된 IPv6 CIDR 블록이 있는 VPC에 대한 사용자 지정 네트워크 ACL의 인바운드 규칙을 보여줍니다.
| 규칙 # | 유형 | 프로토콜 | 포트 범위 | 소스 | 허용/거부 | 설명 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
허용 |
어떤 IPv4 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용 |
|
105 |
HTTP |
TCP |
80 |
::/0 |
허용 |
어떤 IPv6 주소에서 이루어지는 인바운드 HTTP 트래픽도 모두 허용 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
허용 |
어떤 IPv4 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용 |
|
115 |
HTTPS |
TCP |
443 |
::/0 |
허용 |
어떤 IPv6 주소에서 이루어지는 인바운드 HTTPS 트래픽도 모두 허용 |
|
120 |
SSH |
TCP |
22 |
192.0.2.0/24 |
허용 |
홈 네트워크의 퍼블릭 IPv4 주소 범위로부터의 인바운드 SSH 트래픽 허용(인터넷 게이트웨이를 통해) |
|
130 |
RDP |
TCP |
3389 |
192.0.2.0/24 |
허용 |
홈 네트워크의 퍼블릭 IPv4 주소 범위로부터 웹 서버로의 인바운드 RDP 트래픽 허용(인터넷 게이트웨이를 통해) |
|
140 |
사용자 지정 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
허용 |
인터넷으로부터의 인바운드 리턴 IPv4 트래픽 허용(즉, 서브넷에서 시작되는 요청에 대해). 이 범위는 예시일 뿐입니다. |
|
145 |
사용자 지정 TCP | TCP | 32768-65535 | ::/0 | 허용 |
인터넷으로부터의 인바운드 리턴 IPv6 트래픽 허용(즉, 서브넷에서 시작되는 요청에 대해). 이 범위는 예시일 뿐입니다. |
|
* |
모든 트래픽 |
모두 |
모두 |
0.0.0.0/0 |
DENY |
이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv4 트래픽 거부(수정 불가) |
|
* |
모든 트래픽 |
모두 |
모두 |
::/0 |
DENY |
이전 규칙에서 아직 처리하지 않은 모든 인바운드 IPv6 트래픽 거부(수정 불가) |
다음 표에서는 연결된 IPv6 CIDR 블록이 있는 VPC에 대한 사용자 지정 네트워크 ACL의 아웃바운드 규칙을 보여줍니다.
| 규칙 # | 유형 | 프로토콜 | 포트 범위 | 대상 주소 | 허용/거부 | 설명 |
|---|---|---|---|---|---|---|
|
100 |
HTTP |
TCP |
80 |
0.0.0.0/0 |
허용 |
서브넷에서 인터넷으로의 아웃바운드 IPv4 HTTP 트래픽 허용 |
|
105 |
HTTP |
TCP |
80 |
::/0 |
허용 |
서브넷에서 인터넷으로의 아웃바운드 IPv6 HTTP 트래픽 허용 |
|
110 |
HTTPS |
TCP |
443 |
0.0.0.0/0 |
허용 |
서브넷에서 인터넷으로의 아웃바운드 IPv4 HTTPS 트래픽 허용 |
|
115 |
HTTPS |
TCP |
443 |
::/0 |
허용 |
서브넷에서 인터넷으로의 아웃바운드 IPv6 HTTPS 트래픽 허용 |
|
140 |
사용자 지정 TCP |
TCP |
32768-65535 |
0.0.0.0/0 |
허용 |
인터넷에서 클라이언트에 대한 아웃바운드 IPv4 응답 허용(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공). 이 범위는 예시일 뿐입니다. |
|
145 |
사용자 지정 TCP |
TCP |
32768-65535 |
::/0 |
허용 |
인터넷에서 클라이언트에 대한 아웃바운드 IPv6 응답 허용(예: 서브넷에 있는 웹 서버를 방문하는 사람들에게 웹 페이지 제공). 이 범위는 예시일 뿐입니다. |
|
* |
모든 트래픽 |
모두 |
모두 |
0.0.0.0/0 |
DENY |
이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv4 트래픽 거부(수정 불가) |
|
* |
모든 트래픽 |
모두 |
모두 |
::/0 |
DENY |
이전 규칙에서 아직 처리하지 않은 모든 아웃바운드 IPv6 트래픽 거부(수정 불가) |
사용자 지정 네트워크 ACL 및 기타 AWS 서비스
사용자 지정 네트워크 ACL을 생성하는 경우 다른 AWS 서비스를 사용하여 생성하는 리소스에 미칠 수 있는 영향에 주의해야 합니다.
Elastic Load Balancing을 사용하는 경우 사용자의 백엔드 인스턴스에 대한 서브넷에 소스가 0.0.0.0/0 또는 서브넷의 CIDR인 모든 트래픽에 대해 거부 규칙을 추가한 네트워크 ACL이 있으면 로드 밸런서가 인스턴스에 대한 상태 확인을 수행할 수 없습니다. 로드 밸런서 및 백엔드 인스턴스에 권장되는 네트워크 ACL 규칙에 대한 자세한 내용은 Classic Load Balancer 사용 설명서의 VPC의 로드 밸런서를 위한 네트워크 ACL을 참조하세요.
