ACL(Access Control List)
ACL(Access Contorl List) 는 특정 주소를 가진 호스트의 접근을 막거나 방화벽을 구축하는데 가장 중요한 요소로,
허용하지 않은 클라이언트가 네트워크에 접속하는 것을 차단한다.
AWS에서의 ACL
네트워크 ACL에서 여러 개의 인바운드 룰과 아웃바운드 룰을 정의 할 수 있다. 네트워크 ACL은 VPC 내에서 하나 이상의 서브넷에 연동시킬 수 있다. ACL은 룰에 번호를 부여할 수 있는데, 가장 낮은 번호를 지닌 룰부터 점차 높은 번호의 룰들이 순서대로 적용된다. 하지만 특정 네트워크 트래픽을 허용하는 룰이 있을 경우 다른 룰은 적용되지 않는다. 따라서
가장 낮은 번호를 가진 룰이 모든 트래픽을 다 허용하도록 돼 있으면, 다른 룰들은 아무것도 적용되지 못한다.
네트워크 ACL은 '상태 비저장'이라고 한다. 무슨 뜻인고하니 임의의 네트워크 요청이 인바운드 룰에서 허용됐을 때 만약 아웃바운드 룰에서 이에 대한 허용이 돼 있지 않으면 응답이 나갈 수 없다는 얘기다. 반대의 경우도 마찬가지다.
넓은 대역의 포트를 허용하고 싶고 일부 포트에 대해서만 허용을 막아야 한다면 우선 DENY 룰을 추가하는 것이 좋다.
ACL의 종류
ACL의 종류는 Standard, Extended 두가지로 나뉜다.
Standard
※ IP Header의 Source Address를 검사하여 분류한 후 검사 결과에 따라 패킷 출력을 결정한다.
※ 1~99,1300~1999
Extended
※ IP Header의 Source Address,Destination Address, Protocol등을 검사하여 분류한후, 결과에 따라 패킷 출력을 결정한다.
※ 100~199,2000~2699
