ESTABLISHED/RELATED 세션 자동 허용. IN/OUT, 포트 범위, 서비스 기반 제어.
L3/L4/L7 정책
디도스보호(프록시) 연동
요금: 별도문의
네트워크 방화벽 (Firewall)
VPC 경계와 인스턴스 앞단에서 상태기반 트래픽 제어를 제공합니다. 라우팅과 연계된 정책, 디도스보호(프록시) 옵션, 상세 로깅/알림을 통해 안전하고 예측 가능한 네트워크를 구성하세요.
VPC 경계, 서브넷, 인스턴스 앞단에서 단계별 정책. DNAT/SNAT/NAT 게이트웨이 연계.
L7 프록시 보호 옵션과 연동하여 대용량 트래픽 흡수 및 IP 보호.
허용/차단 로그, 플로우 요약, 지표/알림. 외부 SIEM/웹훅 연동.
주요 기능
| 영역 | 내용 |
|---|---|
| L3/L4 제어 | CIDR/IP/포트/프로토콜(TCP/UDP/ICMP), 우선순위 기반 첫 일치. |
| L7 옵션 | HTTP Host/Path, 헤더 조건(프록시 보호와 병행 시). |
| 객체/태그 | 주소/서비스 객체, 프로젝트/환경/역할 태그 참조. |
| NAT | SNAT/DNAT, 소스/목적지 변환, 고정 Egress IP. |
| 위협 완화 | 디도스보호(프록시), GeoIP/ASN 필터, 레이트 제한. |
| 관리/형상 | 정책 버전, 변경 이력, 롤백, 스테이징 적용(드라이런). |
정책 모델(요약)
| 필드 | 설명 | 예시 |
|---|---|---|
| priority | 낮을수록 먼저 평가 | 100 |
| direction | IN / OUT | IN |
| src / dst | CIDR 또는 태그 | 10.0.0.0/8 → 203.0.113.10/32 |
| protocol/port | TCP/UDP/ICMP/ANY, 단일/범위 | TCP 443, TCP 8000-8010 |
| action | ALLOW / DENY | ALLOW |
| log | 매칭 로깅 여부 | true |
예시 정책(JSON)
{
"base": { "in": "deny", "out": "allow" },
"rules": [
{ "priority": 80, "direction": "IN", "src": "0.0.0.0/0", "dst": "@web", "protocol": "TCP", "port": "80", "action": "ALLOW", "log": true, "desc": "HTTP" },
{ "priority": 81, "direction": "IN", "src": "0.0.0.0/0", "dst": "@web", "protocol": "TCP", "port": "443", "action": "ALLOW", "log": true, "desc": "HTTPS" },
{ "priority": 22, "direction": "IN", "src": "203.0.113.0/24", "dst": "@admin", "protocol": "TCP", "port": "22", "action": "ALLOW", "log": true, "desc": "SSH 관리망" },
{ "priority": 900, "direction": "OUT", "src": "@app", "dst": "0.0.0.0/0", "protocol": "TCP", "port": "443", "action": "ALLOW", "log": false, "desc": "외부 API" }
]
}
배치 토폴로지(예)
경계 게이트웨이 — 인터넷 경계에서 NAT/DDoS 프록시와 연동.
서브넷 방화벽 — VPC 내 서브넷 간(East-West) 통신 통제.
인스턴스 앞단 — 특정 서버 전용 세밀 정책(관리 포트 제한).
하이브리드 — 온프레미스/타 클라우드 IPsec/BGP 연동.
로깅 분리 — 차단 로그만 별도 수집, 허용은 샘플링.
변경 스테이징 — 드라이런 후 프로덕션 커밋.
레이트 제한 / GeoIP (프록시 보호와 병행)
policy "edge-protect" {
ratelimit { key: "$remote_addr" window: "1s" allow: 50 burst: 20 action: "deny" }
geoip { country_deny: ["CN","RU"] default: "allow" }
asn_deny: ["AS12345"]
}
로깅 / 모니터링 항목
| 항목 | 범위 | 설명 |
|---|---|---|
| 허용/차단 로그 | 정책/규칙/인스턴스 | src/dst, proto, port, rule, action, latency, bytes. |
| 플로우 로그 | VPC/서브넷 | 세션 요약(p50/p95), 탑 토커, 방향별 대역폭. |
| 알림 | 이벤트 | 차단 급증, SSH 시도 폭증, GeoIP 차단 등 임계치 알림. |
로그 예시(JSON)
{"ts":"2025-08-31T12:00:01Z","policy":"edge-protect","rule":81,"dir":"IN","proto":"TCP","port":443,"src":"198.51.100.23","dst":"203.0.113.10","action":"ALLOW","latency_ms":2}
요금 안내
요금: 별도문의
정책 수/변경 빈도, 처리 대역폭, 로깅 보관 기간, 디도스보호(프록시) 옵션 포함 여부 등에 따라 산정됩니다.
네트워크 경계부터 내부까지, 한 번에 보호하세요
현재 정책 스냅샷을 보내주시면 호환 매트릭스와 개선안을 함께 드립니다.
방화벽 도입 상담
ℹ️
개인정보 처리 안내
문의 응대를 위해서만 사용되며 일정 기간 후 파기됩니다.