Firewall Manager가 방화벽 엔드포인트를 생성하는 방법 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager가 방화벽 엔드포인트를 생성하는 방법

이 섹션에서는 Firewall Manager가 방화벽 엔드포인트를 생성하는 방법에 대해 설명합니다.

정책의 방화벽 관리 유형에 따라 Firewall Manager가 방화벽을 생성하는 방법이 결정됩니다. 정책에 따라 분산 방화벽, 중앙 집중식 방화벽을 만들거나 기존 방화벽을 가져올 수 있습니다.

  • 분산 - 분산 배포 모델을 사용하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에 대한 엔드포인트를 생성합니다. 방화벽 엔드포인트를 생성할 가용 영역을 지정하여 엔드포인트 위치를 사용자 지정하거나, Firewall Manager가 퍼블릭 서브넷이 있는 가용 영역에 엔드포인트를 자동으로 생성할 수 있습니다. 가용 영역을 수동으로 선택하는 경우 가용 영역당 허용된 CIDR 세트를 제한할 수 있습니다. Firewall Manager에서 엔드포인트를 자동으로 생성하도록 하려면 서비스가 VPC 내에 단일 엔드포인트를 생성할지 아니면 여러 방화벽 엔드포인트를 생성할지도 지정해야 합니다.

    • 방화벽 엔드포인트가 여러 개인 경우, Firewall Manager는 라우팅 테이블에 인터넷 게이트웨이 또는 Firewall Manager가 생성한 방화벽 엔드포인트 경로가 있는 서브넷을 포함하는 각 가용 영역에 방화벽 엔드포인트를 배포합니다. 네트워크 방화벽 정책의 기본 옵션입니다.

    • 단일 방화벽 엔드포인트의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 모든 서브넷의 단일 가용 영역에 방화벽 엔드포인트를 배포합니다. 이 옵션을 사용할 경우 다른 영역의 트래픽이 방화벽으로 필터링되려면 영역 경계를 넘어야 합니다.

      참고

      이 두 옵션 모두 IPv4/prefixlist 경로가 포함된 라우팅 테이블에 연결된 서브넷이 있어야 합니다. Firewall Manager는 다른 리소스를 확인하지 않습니다.

  • 중앙 집중식 - 중앙 집중식 배포 모델을 사용하면 Firewall Manager는 검사 VPC 내에 하나 이상의 방화벽 엔드포인트를 생성합니다. 검사 VPC는 Firewall Manager가 엔드포인트를 시작하는 중앙 VPC입니다. 중앙 집중식 배포 모델을 사용할 때는 방화벽 엔드포인트를 생성할 가용 영역도 지정합니다. 정책을 생성한 후에는 검사 VPC를 변경할 수 없습니다. 다른 검사 VPC를 사용하려면 새 정책을 생성해야 합니다.

  • 기존 방화벽 가져오기 - 기존 방화벽을 가져올 때는 정책에 하나 이상의 리소스 세트를 추가하여 정책에서 관리할 방화벽을 선택합니다. 리소스 세트는 조직의 계정으로 관리되는 리소스(이 경우 네트워크 방화벽의 기존 방화벽)의 모음입니다. 정책에서 리소스 세트를 사용하기 전에 먼저 리소스 세트를 생성해야 합니다. Firewall Manager 리소스 세트에 대한 자세한 내용은 Firewall Manager에서 리소스 그룹화를 참조하세요.

    가져온 방화벽으로 작업할 때는 다음 고려 사항에 유의하십시오.

    • 가져온 방화벽이 규정을 준수하지 않는 경우 Firewall Manager는 다음과 같은 경우를 제외하고 위반 사항을 자동으로 해결하려고 시도합니다.

      • Firewall Manager와 네트워크 방화벽 정책의 상태 저장 또는 상태 비저장 기본 동작이 일치하지 않는 경우

      • 가져온 방화벽의 방화벽 정책에 있는 규칙 그룹이 Firewall Manager 정책의 규칙 그룹과 동일한 우선 순위를 갖는 경우

      • 가져온 방화벽이 정책의 리소스 세트에 속하지 않는 방화벽과 연결된 방화벽 정책을 사용하는 경우. 방화벽에는 정확히 하나의 방화벽 정책이 있을 수 있지만 단일 방화벽 정책이 여러 방화벽에 연결될 수 있기 때문에 이런 일이 발생할 수 있습니다.

      • 가져온 방화벽의 방화벽 정책에 속하며 Firewall Manager 정책에도 지정된 기존 규칙 그룹에 다른 우선 순위가 부여되는 경우

    • 정책에서 리소스 정리를 활성화하면 Firewall Manager는 리소스 세트 범위 내의 방화벽에서 FMS 가져오기 정책에 포함된 규칙 그룹을 제거합니다.

    • Firewall Manager에서 관리하는 방화벽 가져오기 기존 방화벽 관리 유형은 한 번에 하나의 정책으로만 관리할 수 있습니다. 여러 개의 네트워크 방화벽 가져오기 정책에 동일한 리소스 세트를 추가하면 리소스 세트에 추가된 첫 번째 정책에서 리소스 세트의 방화벽을 관리하고 두 번째 정책에서는 무시합니다.

    • Firewall Manager는 현재 예외 정책 구성을 스트리밍하지 않습니다. 스트림 예외 정책에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서스트림 예외 정책을 참조하세요.

분산 또는 중앙 집중식 방화벽 관리를 사용하여 정책의 가용 영역 목록을 변경하는 경우 Firewall Manager는 과거에 생성되었지만 현재 정책 범위에 포함되지 않은 엔드포인트를 정리하려고 시도합니다. Firewall Manager는 범위를 벗어난 엔드포인트를 참조하는 라우팅 테이블 경로가 없는 경우에만 엔드포인트를 제거합니다. Firewall Manager는 이러한 엔드포인트를 삭제할 수 없는 것으로 확인되면 방화벽 서브넷을 비준수로 표시하고 삭제해도 안전할 때까지 엔드포인트 제거를 계속 시도합니다.