228. 보안그룹과 network ACL차이점

<1> 현황

보안그룹에서 HTTP  유입 트래픽에 대해  any(0.0.0.0/0)로  허용상태이다.

유출 트래픽에 대해  설정 없다.

network ACL에서 HTTP  유입 트래픽에 대해  any(0.0.0.0/0)로  허용상태이다.

유출 트래픽에 대해  설정 없다.

서비스가 안된다. 어떻게 해야 하나 ?

<2>  조치법

network ACL은  나가는  트래픽도  반드시   허용해야 한다.

<3> 확인

network ACL은  Stateless방식이라 요청정보를 보관하지 않는다. 

HTTP 요청이 온다면 응답 트래픽에 대해서도 허용해야 한다.

AWS에서 network ACL을  사용하지 않으면 허용이 필요없다.

하지만 사용한다면 반드시  응답하는 트래픽에 대한 포트 1024~65535포트를 허용해야 한다.

보안그룹은 StateFul  방식이라 요청정보를 보관한다.

따라서, 유출 트래픽에 대해서 별도 설정이 없어도 통신이 된다.

감사합니다.