방화벽 설정(ACG)
  • PDF

방화벽 설정(ACG)

  • PDF

ACG(Access Control Group)은 서버 간 네트워크 접근 제어 및 관리를 할 수 있는 IP/Port 기반 필터링 방화벽 서비스입니다. ACG를 이용하면 기존 방화벽(iptables, ufw, Windows 방화벽)을 개별적으로 관리할 필요 없이 서버 그룹에 대한 ACG 규칙을 손쉽게 설정하고 관리할 수 있습니다.
네이버 클라우드 플랫폼에서 기본으로 제공하는 ACG를 사용하거나 ACG 규칙을 직접 생성해서 사용할 수 있습니다.

참고

ACG 이용 시 제한 사항은 다음과 같습니다.

[Classic 환경]

  • ACG는 하나의 계정에 100개까지 생성할 수 있습니다.
  • 하나의 ACG에는 규칙을 100개까지 설정할 수 있습니다.
  • 서버는 최대 5개의 ACG에 중복으로 포함될 수 있습니다.
  • 서버 생성 시 선택한 ACG는 변경할 수 없으며, 서버 반납 전까지 해당 ACG 규칙을 적용 받습니다.
참고
  • 로드밸런서 생성 시 로드밸런서 개체에 대한 ACG 그룹(ncloud-load-balancer)이 자동으로 생성됩니다. 서비스를 위해서는 로드밸런서가 실제 바인드하는 서버들의 ACG에서 접근 소스를 로드밸런서로 하는 허용 규칙을 추가해야 합니다.
  • 로드밸런서 개체에 대한 ACG 그룹은 허용 규칙을 추가한 후 나중에 규칙을 삭제하더라도 서버에 대한 로드밸런서의 지속적인 헬스 체크 요청이 있으면 계속해서 서버와 통신이 가능할 수 있습니다. 이 경우 연결된 로드 밸런서를 재시작함으로써 통신을 완전히 차단할 수 있습니다.

기본 제공 ACG

네이버 클라우드 플랫폼의 각 계정에는 기본 ACG가 생성되어 있습니다. 기본으로 제공하는 ACG는 다음의 기본 규칙을 따릅니다. 명시되어 있지 않은 규칙은 설정 내용이 보이지는 않지만 내부적으로 반영되어 처리되고 있는 규칙을 말합니다.

구분 Classic VPC
Default ACG
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • Default ACG 내 속한 서버 간 네트워크 양방향 통신 허용(규칙으로 추가되어 있음, 삭제 가능)
  • 원격 접속 기본 포트 (Linux - 22, Windows - 3389)에 대한 TCP 허용 (Default ACG에 규칙으로 추가되어 있음, 삭제 가능)
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • 원격 접속 기본 포트 (Linux - 22, Windows - 3389)에 대한 TCP 허용 (Default ACG에 규칙으로 추가되어 있음, 삭제 가능)
  • Custom ACG
  • 모든 들어오는 연결(inbound traffic) 차단(규칙으로 명시되어 있지 않음)
  • 모든 나가는 연결(outbound traffic) 허용(규칙으로 명시되어 있지 않음)
  • ACG 생성

    ACG를 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    2. ACG 메뉴를 클릭해 주십시오.
    3. [ACG 생성] 버튼을 클릭해 주십시오.
    4. ACG 이름을 입력한 후 [생성] 버튼을 클릭해 주십시오.
      • ACG가 생성되어 ACG 목록에 표시됩니다.

    ACG 설정

    네이버 클라우드 플랫폼은 기본적으로 모든 들어오는 연결(inbound traffic)을 차단하고 모든 나가는 연결(outbound traffic)은 허용합니다. ACG 설정을 변경하여 이 규칙을 변경할 수 있습니다. ACG 설정을 변경하는 방법은 다음과 같습니다.

    참고
    • 만약 ACG Outbound 규칙에 아무런 설정이 없는 경우, 서버에서 발신되는 Request 패킷은 차단될 수 있습니다.
    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.

    2. ACG 메뉴를 클릭해 주십시오.

    3. 규칙을 설정할 ACG를 선택한 후 [ACG 설정] 버튼을 클릭해 주십시오.

    4. 아래의 표를 참조하여 상세 규칙을 입력한 후 [추가] 버튼을 클릭해 주십시오.

      항목 설정 방법 예시
      프로토콜 TCP, UDP, ICMP 중 선택
      접근 소스/목적지 IP 주소 또는 ACG 명 입력 1. IP 주소
      단일 IP 주소 또는 CIDR 형식으로 IP 네트워크 주소 범위를 지정
      CIDR 주소 입력 시에는 네트워크 주소를 입력하고 뒤에 슬래시(/)를 포함하여 서브넷 bits를 입력
      2. ACG 명
      대상 ACG 그룹에 속한 개체 전체를 접근 소스로 지정
      허용 포트 (서비스) TCP, UDP의 경우 허용 포트 범위 입력 TCP(1~65535의 허용 포트 범위 지정 가능)
      UDP(1~65535의 허용 포트 범위 지정 가능)
      ICMP(프로토콜 전체에 대한 허용 여부 선택만 가능)
      • 규칙은 100개까지 추가할 수 있습니다.
    5. 모든 규칙을 추가했으면 [적용] 버튼을 클릭해 주십시오.

      • ACG 규칙 설정이 적용됩니다.

    ACG 규칙 설정 예제

    ACG 규칙 설정 시 다음의 예제를 참조해 주십시오.

    특정 IP에서 ssh 서비스로 접근을 허용

    프로토콜 접근 소스 허용 포트
    TCP 192.168.77.17 22

    특정 IP 대역에서 ssh 서비스로 접근을 허용(1)

    프로토콜 접근 소스 허용 포트
    TCP 192.168.77.0/24 22

    특정 IP 대역에서 ssh 서비스로 접근을 허용(2)

    프로토콜 접근 소스 허용 포트
    TCP 192.168.77.128/25 22

    Test-ACG라는 이름을 가진 ACG 개체에 할당된 서버들 상호 간의 ssh 접근을 허용

    프로토콜 접근 소스 허용 포트
    TCP Test-ACG 22

    로드밸런서용 ACG인 Ncloud-load-balancer를 소스로 설정하여, 로드밸런서 개체에서 binding 된 실제 웹 서버로의 네트워크 접근을 허용(로드밸런스를 여러 개 생성하더라도 ACG명은 동일한 하나의 이름만 사용)

    프로토콜 접근 소스 허용 포트
    TCP ncloud-load-balancer 80

    특정 IP에서 UDP 22-1025 포트로의 접근을 허용

    프로토콜 접근 소스 허용 포트
    UDP 192.168.77.17 22-1025

    웹 서비스에 대해서 전체 대상으로 오픈

    프로토콜 접근 소스 허용 포트
    TCP 0.0.0.0/0 80

    ACG 삭제

    ACG를 삭제하는 방법은 다음과 같습니다.

    참고
    • 여러 개의 ACG를 동시에 삭제할 수 없습니다.
    • 서버에 적용된 ACG는 삭제할 수 없습니다.
    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    2. ACG 메뉴를 클릭해 주십시오.
    3. 삭제할 ACG를 선택한 후 [ACG 삭제] 버튼을 클릭해 주십시오.
    4. 확인 팝업 창의 내용을 확인한 후 [예] 버튼을 클릭해 주십시오.
      • ACG가 삭제됩니다.

    이 글이 도움이 되었나요?