2. VPC Security Group vs NACL

VPC를 구성하다보면 네트워크 방화벽?에 가까운 SG, NACL을 접하게 될 것이다.

근데 두 개가 왜 필요하지? 두 개의 차이가 뭐가 있지?

이제 한번 같이 알아보자.

Network Acess Control List 부터 ~

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-network-acls.html

---

 

특징 정리

•  Stateless: NACL은 상태를 유지하지 않는(stateless) 방화벽이다. 즉, 인바운드 패킷이 아웃바운드 패킷과 연결되지 않는다. 이는   NACL이 특정 연결의 상태를 추적하지 않고, 각 패킷을 독립적으로 처리함을 의미한다.
• Subnet 단위: Subnet 단위에 방화벽 개념입니다. 서브넷마다 별도의 NACL을 할당할 수 있다.
• Allow, Deny 가능
• 최대 규칙 60개 정도(할당량 추가 요청 기준)
• Numbered Rules: NACL은 숫자로 된 규칙 번호를 사용하여 규칙을 식별한다. 각 규칙에는 일련 번호가 할당되며, 순서대로 적용됨

Security Group은 ~?

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-security-groups.html

---

특징 정리

• Stateful: 인바운드 규칙을 정의하면 이에 대응하는 아웃바운드 규칙이 자동으로 생성되어 연결된 인스턴스에서 해당 트래픽을 허용
• Instance(Server) 단위
• Allow만 가능(WhiteList)
• 최대 규칙 60개, 그렇지만 하나의 ENI에 보안그룹 5개를 부여가능하다고 하였을 때 총 300개라고 가정해도 된다.
• 동적포트: 포트 범위를 지정하여 여러 포트를 지정할 수 있다.
• Default Deny: Security Group에 명시적으로 정의되지 않은 모든 트래픽은 기본적으로 거부된다.
• 순서 없는 규칙: 순서에 상관없이 모든 규칙이 동시에 적용된다. 우선순위 개념이 존재하지 않는다.

이렇게 특징을 알아보았다. 둘의 큰 차이점은 StateLess VS Stateful 이다.명심하자.