Firewall Manager Shield Advanced 정책과 함께 자동 애플리케이션 계층 DDoS 완화 사용 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced
자동 완화 구성 AWS WAF Classic 웹 ACL을 v2 웹 ACL로 교체

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager Shield Advanced 정책과 함께 자동 애플리케이션 계층 DDoS 완화 사용

이 페이지에서는 자동 애플리케이션 계층 DDoS 완화가 Firewall Manager와 작동하는 방법을 설명합니다.

Shield Advanced 정책을 Amazon CloudFront 배포 또는 Application Load Balancer에 적용하는 경우 정책에서 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화를 구성할 수 있습니다.

Shield Advanced 자동 완화에 대한 자세한 내용은 Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화 을 참조하세요.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화에는 다음과 같은 요구 사항이 있습니다.

  • 자동 애플리케이션 계층 DDoS 완화는 Amazon CloudFront 배포와 Application Load Balancer에서만 작동합니다.

    Shield Advanced 정책을 Amazon CloudFront 배포에 적용하는 경우, 글로벌 리전에 대해 생성하는 Shield Advanced 정책에 대해 이 옵션을 선택할 수 있습니다. Application Load Balancer에 보호를 적용하는 경우 Firewall Manager가 지원하는 모든 리전에 정책을 적용할 수 있습니다.

  • 자동 애플리케이션 계층 DDoS 완화는 AWS WAF (v2)의 최신 버전을 사용하여 생성된 웹 ACLs에서만 작동합니다.

    따라서 AWS WAF Classic 웹 ACLs을 사용하는 정책이 있는 경우 정책을 최신 버전의를 자동으로 사용하는 새 정책으로 바꾸 AWS WAF거나 Firewall Manager가 기존 정책에 대한 새 버전의 웹 ACLs을 생성하고 이를 사용하도록 전환해야 합니다. 이러한 옵션에 대한 자세한 내용은 AWS WAF Classic 웹 ACLs 최신 버전의 웹 ACLs로 대체을 참조하세요.

자동 완화 구성

Firewall Manager Shield Advanced 정책의 자동 애플리케이션 계층 DDoS 완화 옵션은 Shield Advanced 자동 완화 기능을 정책의 범위 내 계정 및 리소스에 적용합니다. 이 Shield Advanced 기능에 대한 자세한 내용은 Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화 을 참조하세요.

Firewall Manager가 정책 범위 내에 있는 CloudFront 배포 또는 Application Load Balancer에 대한 자동 완화 기능을 활성화 또는 비활성화하도록 선택하거나, Shield Advanced 자동 완화 설정을 정책이 무시하도록 선택할 수 있습니다.

  • 활성화 - 자동 완화를 활성화하도록 선택한 경우 Shield Advanced 규칙 완화 시 일치하는 웹 요청을 카운트할지 아니면 차단할지 여부도 지정합니다. Firewall Manager는 자동 완화 기능이 활성화되어 있지 않거나 정책에 지정한 것과 일치하지 않는 규칙 동작을 사용하는 경우 범위 내 리소스를 비준수로 표시합니다. 자동 수정을 위한 정책을 구성하면 Firewall Manager는 필요에 따라 비준수 리소스를 업데이트합니다.

  • 비활성화 - 자동 완화를 사용하지 않도록 선택하면 Firewall Manager는 범위 내 리소스에 자동 완화 기능이 활성화되어 있는 경우 해당 리소스를 비준수로 표시합니다. 자동 수정을 위한 정책을 구성하면 Firewall Manager는 필요에 따라 비준수 리소스를 업데이트합니다.

  • 무시 - 자동 완화를 무시하도록 선택하면 Firewall Manager는 정책에 대한 수정 작업을 수행할 때 Shield 정책의 자동 완화 설정을 고려하지 않습니다. 이 설정을 사용하면 Firewall Manager가 해당 설정을 덮어쓰지 않고도 Shield Advanced를 통해 자동 완화 기능을 제어할 수 있습니다. Shield Advanced를 통해 관리되는 Classic Load Balancer 또는 Elastic IP 리소스에는 이 설정이 적용되지 않습니다. Shield Advanced는 현재 해당 리소스에 대한 L7 자동 완화를 지원하지 않기 때문입니다.

AWS WAF Classic 웹 ACLs 최신 버전의 웹 ACLs로 대체

자동 애플리케이션 계층 DDoS 완화는 AWS WAF (v2)의 최신 버전을 사용하여 생성된 웹 ACLs에서만 작동합니다.

Shield Advanced 정책의 웹 ACL 버전을 확인하려면 Shield Advanced 정책에서 AWS WAF 사용하는의 버전 결정을 참조하세요.

Shield Advanced 정책에서 자동 완화를 사용하고 정책에서 현재 AWS WAF Classic 웹 ACLs 사용하는 경우 새 Shield Advanced 정책을 생성하여 현재 정책을 대체하거나이 섹션에 설명된 옵션을 사용하여 이전 버전 웹 ACLs을 현재 Shield Advanced 정책 내의 새 (v2) 웹 ACLs로 대체할 수 있습니다. 새 정책은 항상 최신 버전의를 사용하여 웹 ACLs을 생성합니다 AWS WAF. 전체 정책을 교체하는 경우 정책을 삭제할 때 Firewall Manager에서 이전 버전의 웹 ACL도 모두 삭제하도록 할 수 있습니다. 이 섹션의 나머지 부분에서는 기존 정책 내의 웹 ACL을 교체하기 위한 옵션에 대해 설명합니다.

Amazon CloudFront 리소스에 대한 기존 Shield Advanced 정책을 수정할 때 Firewall Manager는 v2 웹 ACL이 아직 없는 범위 내 계정에서 정책에 대한 새 빈 AWS WAF (v2) 웹 ACL을 자동으로 생성할 수 있습니다. Firewall Manager가 새 웹 ACL을 생성할 때 정책에 이미 동일한 계정에 AWS WAF Classic 웹 ACL이 있는 경우 Firewall Manager는 기존 웹 ACL과 동일한 기본 작업 설정으로 새 버전 웹 ACL을 구성합니다. 기존 AWS WAF Classic 웹 ACL이 없는 경우 Firewall Manager는 새 웹 ACLAllow에서 기본 작업을 로 설정합니다. Firewall Manager에서 새 웹 ACL을 생성한 후 AWS WAF 콘솔을 통해 필요에 따라 이를 사용자 지정할 수 있습니다.

다음 정책 구성 옵션 중 하나를 선택하면 Firewall Manager는 아직 해당 옵션이 없는 범위 내 계정에 대해 새 (v2) 웹 ACL을 생성합니다.

  • 자동 애플리케이션 계층 DDoS 완화를 활성화 또는 비활성화하는 경우. 이 선택만 해도 Firewall Manager는 새 웹 ACL을 생성할 뿐 정책의 범위 내 리소스에 있는 기존 AWS WAF 클래식 웹 ACL 연결을 대체하지 않습니다.

  • 자동 문제 해결의 정책 작업을 선택하고 AWS WAF Classic 웹 ACLs을 AWS WAF (v2) 웹 ACLs. 자동 애플리케이션 계층 DDoS 완화에 대한 구성 선택 사항과 상관없이 이전 버전의 웹 ACL을 교체하도록 선택할 수 있습니다.

    대체 옵션을 선택하면 Firewall Manager는 필요에 따라 새 버전의 웹 ACL을 생성한 다음 정책의 범위 내 리소스에 대해 다음을 수행합니다.

    • 리소스가 다른 활성 Firewall Manager 정책의 웹 ACL과 연결된 경우 Firewall Manager는 연결을 그대로 둡니다.

    • 다른 경우 Firewall Manager는 AWS WAF Classic 웹 ACL과의 연결을 제거하고 리소스를 정책의 AWS WAF (v2) 웹 ACL과 연결합니다.

원하는 경우 Firewall Manager에서 이전 버전의 웹 ACL을 새 버전의 웹 ACL로 교체하도록 선택할 수 있습니다. 이전에 정책의 AWS WAF 클래식 웹 ACL을 사용자 지정한 경우 Firewall Manager에서 대체 단계를 수행하도록 선택하기 전에 새 버전의 웹 ACL을 유사한 설정으로 업데이트할 수 있습니다.

AWS WAF 또는 AWS WAF Classic용 동일 버전 콘솔을 통해 정책의 웹 ACL 버전에 액세스할 수 있습니다.

Firewall Manager는 정책 자체를 삭제할 때까지 대체된 AWS WAF Classic 웹 ACLs을 삭제하지 않습니다. 정책에서 AWS WAF Classic 웹 ACLs을 더 이상 사용하지 않으면 원하는 경우 삭제할 수 있습니다.