에서 웹 ACLs 사용 AWS WAF - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 웹 ACLs 사용 AWS WAF

이 페이지에서는 웹 액세스 제어 목록(웹 ACL)과 작동 방식을 설명합니다.

웹 ACL을 사용하면 보호된 리소스가 응답하는 모든 HTTP(S) 웹 요청을 세밀하게 제어할 수 있습니다. Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner및 AWS Verified Access 리소스를 보호할 수 있습니다.

다음과 같은 기준을 사용하여 요청을 허용하거나 차단할 수 있습니다.

  • 요청의 출처 IP 주소

  • 요청의 출처 국가

  • 요청의 일부로 포함된 문자열 일치 또는 정규 표현식(정규식) 일치

  • 요청의 특정 부분의 크기

  • 악성 SQL 코드 또는 스크립팅 감지

또한 이러한 조건의 조합을 테스트할 수 있습니다. 지정된 조건을 충족할 뿐 아니라 단 1분간 지정된 요청 수를 초과하는 웹 요청을 차단 또는 계수할 수 있습니다. 논리적 연산자를 사용하여 조건을 결합할 수 있습니다. 또한 CAPTCHA 퍼즐을 실행하고 요청에 대해 클라이언트 세션 챌린지를 자동으로 실행할 수도 있습니다.

AWS WAF 규칙 문에서 일치 기준과 일치에 대해 수행할 작업을 제공합니다. 웹 ACL 내에서 직접 그리고 웹 ACL에서 사용하는 재사용 가능한 규칙 그룹에서 규칙문을 정의할 수 있습니다. 옵션의 전체 목록은 에서 규칙 문 사용 AWS WAF에서 규칙 작업 사용 AWS WAF 단원을 참조하세요.

웹 ACL을 생성할 때 사용할 리소스 유형을 지정합니다. 자세한 내용은 에서 웹 ACL 생성 AWS WAF을 참조하세요. 웹 ACL을 정의한 후 리소스와 연결하여 리소스에 보호 기능을 제공할 수 있습니다. 자세한 내용은 웹 ACL을 AWS 리소스와 연결 또는 연결 해제 단원을 참조하십시오.

참고

경우에 따라 요청을 허용할지 또는 차단할지에 대한 관련 AWS 리소스에 대한 응답을 지연시키는 내부 오류가 AWS WAF 발생할 수 있습니다. 이러한 경우, CloudFront는 일반적으로 요청을 허용하거나 콘텐츠를 제공하는 반면 리전 서비스는 일반적으로 요청을 거부하고 콘텐츠를 제공하지 않습니다.

프로덕션 트래픽 위험

프로덕션 트래픽용 웹 ACL에 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정하십시오. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 AWS WAF 보호 기능 테스트 및 튜닝을 참조하세요.

참고

웹 ACL에서 1,500개가 넘는 WCU를 사용하면 기본 웹 ACL 가격을 초과하는 비용이 발생합니다. 자세한 내용은 의 웹 ACL 용량 단위(WCUs) AWS WAFAWS WAF 요금을 참조하세요.

업데이트 중 일시적인 불일치

웹 ACL 또는 기타 AWS WAF 리소스를 생성하거나 변경할 때 리소스가 저장된 모든 영역으로 전파하는 데 약간의 시간이 걸립니다. 전파 시간은 몇 초~몇 분이 걸릴 수 있습니다.

다음은 변경 전파 중에 표시될 수 있는 일시적 불일치의 예입니다.

  • 웹 ACL을 생성한 후 이를 리소스에 연결하려고 하면 웹 ACL을 사용할 수 없다는 예외가 발생할 수 있습니다.

  • 웹 ACL에 규칙 그룹을 추가한 후 새 규칙 그룹 규칙이 웹 ACL이 사용되는 한 영역에는 적용되고 다른 영역에서는 적용되지 않을 수 있습니다.

  • 규칙 작업 설정을 변경한 후 일부 위치에서 이전 작업이 표시되고 다른 위치에서는 새 작업이 표시될 수 있습니다.

  • 차단 규칙에서 사용되는 IP 집합에 IP 주소를 추가한 후 새 주소가 한 영역에서는 차단되는데 다른 영역에서 계속 허용될 수도 있습니다.

주제