Search

[AWS] Network Firewall : 네트워크 보안 서비스

PublishDate
2022/04/07
Category
AWS
Network
Tag & Keyword
Security
Suricata
Firewall
방화벽
Stateful

AWS Network Firewall

AWS Network Firewall은 Amazon VPC에 대한 세분화된 Network Protection을 쉽게 제공하여 트래픽 검사, 모니터링 및 로깅 하는 관리형 서비스이다.
중앙 관리형 Cloud Network Control을 할 수 있다.
Stateful과 Stateless 방식 모두 Control 가능하다.
Network Firewall에 참고한 좋은 블로그가 있다.
AWS Network Firewall의 예시 아키텍처

실습

Network Firewall 구성

Routing 구성

Network Firewall 작동 테스트

Stateful Defualt Action을 Deny로 설정

이슈

1.
Ingress RTB에 엣지연결로 IGW를 연결하는 경우 라우팅에 VPC CIDR 이하의 범위만 지정할 수 있다. 즉 인터넷 → IGW → NF → 다른 VPC 방식으로 사용해야 하는 것 같다.
2.
ICMP를 any any 로 추가하는 경우 → 조금 기다리면 Ping이 된다. (당연)
그런데? → Deny로 변경해도 핑이된다 ;;;;;;;;;;;;
도큐먼트에는 기존 Flow는 영향을 안 받는다하는데, 새로 보내는 ping(New Flow)도 통신이 되기 때문에… 인디서비스인가…?
한 30분 지나니까 완전히 막힌다. (네트워크 전파속도가 많이 느린건지, 전파 알고리즘에 숨겨진 작동원리가 있는지는 모르겠다)

결론

NF는 Suricata Rule을 미는 것 같다. IDS/IPS 시스템에서 많이 사용되는 방식인 것 같은데, 사용 경험이 없어서 추후에 PoC를 다시 해봐야 할 듯...
SG를 사용하면서 Stateful의 default deny가 너무 당연했는데, NF의 default는 allow여서 너무 당황스러웠다.
기능이 많지만, 직관적이지 않고 Console 내부에서 버그도 많다. 네트워크를 전문적으로 다루는 엔지니어에게는 다양한 옵션이 있어서 매력적인 선택지로 보인다. 비용도 무시할 수 없다.