목차
보안그룹 VS NACL
보안 그룹 | NACL |
인스턴스 레벨의 방화벽 | 서브넷 레벨의 방화벽 |
Stateful
- 인바운드 규칙에 따라 대상이 허용된다면 그 상태 정보를 기억하고 있어 아웃바운드로 되돌아갈 때 아웃바운드 규칙 상관 없이 허용 | Stateless
- 인바운드로 들어오는 트래픽에 대해 그 상태 정보는 아웃바운드로 되돌아갈때 관여하지 않음 |
허용 규칙만 존재
- 허용 규칙만 나열하며 그 대상이 아닌 것은 자동으로 거부 | 허용/거부 규칙 존재
- NACL을 규칙번호가 작은숫자부터 순차적으로 확인하여 매핑
[참고]
- 마지막 규칙은 모든 트래픽에 거부하는 규칙을 자동으로 가지고 있음
- 클라이언트의 포트는 임시포트를 사용하므로 아웃바운드 규칙에서 허용 할 포트 번호 대상은 임시 포트 구간이 설정되어야 함(1024 ~ 65535)
- OS별로 사용하는 임시포트 범위가 다름 |
- 각 인스턴스는 개별적인 보안 그룹을 지정할 수도 있고, 동일한 보안 그룹을 중복으로 지정 가능 | - 하나의 서브넷에는 하나의 NACL만 연결 가능 |