[IT/Network] ACL이란

ACL(Access Control List)

ACL(Access Contorl List) 는 특정 주소를 가진 호스트의 접근을 막거나 방화벽을 구축하는데 가장 중요한 요소로,

허용하지 않은 클라이언트가 네트워크에 접속하는 것을 차단한다.

AWS에서의 ACL

네트워크 ACL에서 여러 개의 인바운드 룰과 아웃바운드 룰을 정의 할 수 있다. 네트워크 ACL은 VPC 내에서 하나 이상의 서브넷에 연동시킬 수 있다. ACL은 룰에 번호를 부여할 수 있는데,  가장 낮은 번호를 지닌 룰부터 점차 높은 번호의 룰들이 순서대로 적용된다. 하지만 특정 네트워크 트래픽을 허용하는 룰이 있을 경우 다른 룰은 적용되지 않는다. 따라서

가장 낮은 번호를 가진 룰이 모든 트래픽을 다 허용하도록 돼 있으면, 다른 룰들은 아무것도 적용되지 못한다.

네트워크 ACL은 '상태 비저장'이라고 한다. 무슨 뜻인고하니 임의의 네트워크 요청이 인바운드 룰에서 허용됐을 때 만약 아웃바운드 룰에서 이에 대한 허용이 돼 있지 않으면 응답이 나갈 수 없다는 얘기다. 반대의 경우도 마찬가지다.

넓은 대역의 포트를 허용하고 싶고 일부 포트에 대해서만 허용을 막아야 한다면 우선 DENY 룰을 추가하는 것이 좋다.

 

- AWS 네트워킹 쿡북-

ACL의 종류

ACL의 종류는 Standard, Extended 두가지로 나뉜다.

 

Standard

※ IP Header의 Source Address를 검사하여 분류한 후 검사 결과에 따라 패킷 출력을 결정한다.

※ 1~99,1300~1999

 

Extended

※ IP Header의 Source Address,Destination Address, Protocol등을 검사하여 분류한후, 결과에 따라 패킷 출력을 결정한다.

※ 100~199,2000~2699