Firewall Manager가 방화벽 서브넷을 관리하는 방법 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced

Firewall Manager가 방화벽 서브넷을 관리하는 방법

이 섹션에서는 Firewall Manager가 방화벽 서브넷을 관리하는 방법에 대해 설명합니다.

방화벽 서브넷은 Firewall Manager가 네트워크 트래픽을 필터링하는 방화벽 엔드포인트에 대해 생성하는 VPC 서브넷입니다. 각 방화벽 엔드포인트는 전용 VPC 서브넷에 배포되어야 합니다. Firewall Manager는 정책 범위 내에 있는 각 VPC에 방화벽 서브넷을 하나 이상 생성합니다.

자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 서브넷 또는 Firewall Manager가 정책용으로 만든 방화벽 엔드포인트로 연결되는 경로가 있는 서브넷이 있는 가용 영역에만 방화벽 서브넷을 생성합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 및 서브넷을 참조하세요.

Firewall Manager가 방화벽 엔드포인트를 생성할 가용 영역을 지정하는 분산 또는 중앙 집중식 모델을 사용하는 정책의 경우, Firewall Manager는 가용 영역에 다른 리소스가 있는지 여부에 관계없이 특정 가용 영역에 엔드포인트를 생성합니다.

네트워크 방화벽 정책을 처음 정의할 때는 Firewall Manager가 범위 내에 있는 각 VPC의 방화벽 서브넷을 관리하는 방법을 지정합니다. 나중에 이 선택 항목을 변경할 수 없습니다.

자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 다음 옵션 중에서 선택할 수 있습니다.

  • 퍼블릭 서브넷이 있는 모든 가용 영역에 방화벽 서브넷을 배포합니다. 이는 기본 설정 동작입니다. 이는 트래픽 필터링 보호의 고가용성을 제공합니다.

  • 1개의 가용 영역에 단일 방화벽 서브넷을 배포합니다. 이 옵션을 선택하면 Firewall Manager는 VPC에서 퍼블릭 서브넷이 가장 많은 영역을 식별하고 해당 영역에 방화벽 서브넷을 생성합니다. 단일 방화벽 엔드포인트는 VPC의 모든 네트워크 트래픽을 필터링합니다. 이렇게 하면 방화벽 비용을 줄일 수 있지만 가용성이 높지는 않으며 필터링하려면 다른 영역의 트래픽이 영역 경계를 넘어야 합니다.

사용자 지정 엔드포인트가 구성된 분산 배포 모델 또는 중앙 집중식 배포 모델을 사용하는 정책의 경우 Firewall Manager는 정책 범위 내에 있는 지정된 가용 영역에 서브넷을 생성합니다.

Firewall Manager가 방화벽 서브넷에 사용할 VPC CIDR 블록을 제공하거나 방화벽 엔드포인트 주소의 선택은 Firewall Manager가 결정하도록 맡길 수 있습니다.

  • CIDR 블록을 제공하지 않는 경우 Firewall Manager는 VPC를 쿼리하여 사용할 수 있는 IP 주소를 찾습니다.

  • CIDR 블록 목록을 제공하는 경우 Firewall Manager는 사용자가 제공하는 CIDR 블록에서만 새 서브넷을 검색합니다. /28 CIDR 블록을 사용해야 합니다. Firewall Manager가 생성하는 각 방화벽 서브넷에 대해 CIDR 블록 목록을 검토하여 가용 영역 및 VPC에 적용되고 사용 가능한 주소가 있는 첫 번째 방화벽 서브넷을 사용합니다. Firewall Manager가 VPC에서 빈 공간을 찾을 수 없는 경우(제한이 있든 없든), 해당 서비스는 VPC에 방화벽을 만들지 않습니다.

Firewall Manager가 가용 영역에 필수 방화벽 서브넷을 만들 수 없는 경우 해당 서브넷을 정책을 준수하지 않는 것으로 표시합니다. 영역이 이 상태에 있는 동안 다른 영역의 엔드포인트에 의해 필터링되려면 해당 영역의 트래픽이 영역 경계를 넘어야 합니다. 이는 단일 방화벽 서브넷 시나리오와 유사합니다.