VPN 서버에 사용할 보안 그룹 및 NACL 구성하기
보안 그룹 및 NACL(네트워크 액세스 제어 목록)은 VPN 서버가 배포된 VPN 서버의 서브넷과 VPN 터널을 통해 통신하는 다른 VPC 서브넷에서 구성할 수 있습니다.
VPN 서버의 서브넷에 보안 그룹 및 NACL을 구성하는 경우, VPN 터널 트래픽을 허용하기 위해 다음 규칙이 적용되어 있는지 확인하세요. 자세한 정보는 보안 그룹 정보 및 네트워크 ACL 설정을 참조하십시오.
VPN 서버를 프로비저닝할 때 보안 그룹을 지정하지 않으면 VPC의 기본 보안 그룹이 VPN 서버에 연결됩니다. 서버를 프로비저닝한 후 VPN 서버에 다른 보안 그룹을 첨부할 수 있습니다.
VPN 프로토콜 트래픽에 대한 규칙
VPN 서버는 TCP 또는 UDP 프로토콜에서 실행될 수 있습니다. VPN 서버를 프로비저닝할 때 프로토콜 및 포트를 지정할 수 있습니다. 해당 프로토콜과 포트를 보안 그룹 규칙과 NACL로 열어야 합니다.
VPN 서버에 대한 보안 그룹 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
VPN server protocol |
CIDR 블록 |
0.0.0.0/0 |
VPN server port |
| 아웃바운드 |
VPN server protocol |
CIDR 블록 |
0.0.0.0/0 |
VPN server port |
VPN 서버에 대한 NACL 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
VPN server protocol |
임의 |
임의 |
VPN server subnet |
VPN server port |
| 아웃바운드 |
VPN server protocol |
VPN server subnet |
VPN server port |
임의 |
임의 |
예를 들어, 기본적으로 VPN 서버는 UDP 포트 443 에서 실행되므로 다음과 같이 보안 그룹 및 NACL 규칙을 구성해야 합니다:
기본 프로토콜 및 포트가 있는 VPN 서버의 보안 그룹 규칙에 대한 구성 정보
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
UDP |
CIDR 블록 |
0.0.0.0/0 |
443 |
| 아웃바운드 |
UDP |
CIDR 블록 |
0.0.0.0/0 |
443 |
기본 프로토콜 및 포트가 있는 VPN 서버의 NACL에 대한 구성 정보
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
UDP |
임의 |
임의 |
VPN server subnet |
443 |
| 아웃바운드 |
UDP |
VPN server subnet |
443 |
임의 |
임의 |
deliver 경로 동작이 있는 VPN 트래픽에 대한 규칙
클라이언트가 VPN 서버에 연결되면 기본적으로 VPN 서버는 클라이언트로부터 모든 트래픽을 삭제합니다. 이 트래픽을 허용하려면 VPN 서버에서 VPN 라우트를 구성해야 합니다. 경로의 동작은 deliver 또는 translate 일 수 있습니다.
- 조치가
deliver이면 패킷이 터널에서 복호화된 후 패킷이 직접 전달되므로, 패킷의 소스 IP는 클라이언트 IP 풀에서 가져온 VPN 클라이언트 IP입니다.
- 조치가
translate이면 패킷이 터널에서 복호화된 후 패킷의 소스 IP가 VPN 서버의 사설 IP로 변환된 후 패킷이 전송됩니다.
보안 그룹 및 NACL 규칙을 만들 때 지정해야 하는 CIDR에 유의하세요.
VPN 서버의 VPN 전송 경로에 대한 보안 그룹 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
모두 |
CIDR 블록 |
VPN route destination CIDR |
임의 |
| 아웃바운드 |
모두 |
CIDR 블록 |
VPN route destination CIDR |
임의 |
VPN 서버 서브넷의 VPN 전달 경로에 대한 NACL 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
VPN route destination CIDR |
임의 |
VPN server client IP pool |
임의 |
| 아웃바운드 |
모두 |
VPN server client IP pool |
임의 |
VPN route destination CIDR |
임의 |
동시에 VPN 클라이언트의 트래픽 차단을 해제하려면 VPC 가상 서버에서 보안 그룹과 NACL을 구성해야 합니다:
VPN에 대한 보안 그룹 규칙은 VPC 가상 서버 인터페이스에서 경로를 제공합니다
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
모두 |
CIDR 블록 |
VPN server client IP pool |
임의 |
| 아웃바운드 |
모두 |
CIDR 블록 |
VPN server client IP pool |
임의 |
VPN에 대한 NACL 규칙은 VPC 가상 서버 서브넷에서 경로를 전달합니다
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
VPN server client IP pool |
임의 |
VPN route destination CIDR |
임의 |
| 아웃바운드 |
모두 |
VPN route destination CIDR |
임의 |
VPN server client IP pool |
임의 |
예를 들어, VPN 서버를 프로비저닝할 때 172.16.0.0/20을 클라이언트 IP 풀로 사용하고 VPN 클라이언트에서 서브넷 10.240.128.0/24의 리소스에 액세스하려는 경우 대상이 10.240.128.0/24이며 조치가 deliver인 VPN 라우트를 작성해야 합니다. 또한 다음과 같이 보안 그룹 및 NACL 규칙을 구성해야
합니다:
VPN 서버의 VPN 전송 경로에 대한 보안 그룹 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
모두 |
CIDR 블록 |
10.240.128.0/24 |
임의 |
| 아웃바운드 |
모두 |
CIDR 블록 |
10.240.128.0/24 |
임의 |
VPN 서버 서브넷의 VPN 전달 경로에 대한 NACL 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
10.240.128.0/24 |
임의 |
172.16.0.0/20 |
임의 |
| 아웃바운드 |
모두 |
172.16.0.0/20 |
임의 |
10.240.128.0/24 |
임의 |
VPC 가상 서버의 VPN 전달 경로에 대한 보안 그룹 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
모두 |
CIDR 블록 |
172.16.0.0/20 |
임의 |
| 아웃바운드 |
모두 |
CIDR 블록 |
172.16.0.0/20 |
임의 |
VPN에 대한 NACL 규칙은 VPC 가상 서버 서브넷에서 경로를 전달합니다
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
172.16.0.0/20 |
임의 |
10.240.128.0/24 |
임의 |
| 아웃바운드 |
모두 |
10.240.128.0/24 |
임의 |
172.16.0.0/20 |
임의 |
translate 경로 동작이 있는 VPN 트래픽에 대한 규칙
VPN 변환 라우트의 규칙은 전달 경로와 거의 동일합니다. 유일한 차이점은 패킷의 소스 IP가 VPN 서버의 사설 IP로 변환되는 것입니다. 따라서 VPN 서버의 클라이언트 IP 풀 대신 VPN 서버의 서브넷을 사용해야 합니다.
VPN 서버를 프로비저닝할 때 여러 서브넷을 선택하는 경우, 모든 서브넷을 보안 그룹 및 NACL 규칙에 포함해야 합니다.
VPN 서버의 VPN 변환 라우트에 대한 보안 그룹 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
모두 |
CIDR 블록 |
VPN route destination CIDR |
임의 |
| 아웃바운드 |
모두 |
CIDR 블록 |
VPN route destination CIDR |
임의 |
VPN 서버 서브넷의 VPN 변환 경로에 대한 NACL 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
VPN route destination CIDR |
임의 |
VPN server subnet CIDR |
임의 |
| 아웃바운드 |
모두 |
VPN server subnet CIDR |
임의 |
VPN route destination CIDR |
임의 |
일반적으로, VPN 변환 라우트의 대상은 VPC 밖에 있습니다. 예를 들어 VPN 서버를 사용하여 IBM 클래식 인프라 가상 서버 인스턴스에 액세스하려고 한다고 가정해 보겠습니다. 동시에 VPN 클라이언트의 트래픽 차단을 해제하려면 대상에 방화벽 규칙을 구성해야 합니다.
예를 들어, VPN 서버를 프로비저닝할 때 서브넷 10.240.64.0/24 및 10.240.129.0/24 를 사용하는 경우 IBM 클래식 인프라에 서브넷 10.187.190.0/26 가 있으며 VPN 클라이언트에서 클래식 가상 서버 인스턴스에 액세스하려고 합니다. 그런 다음 목적지가 있는 VPN 경로를 만들어야 합니다: 10.187.190.0/26,
동작: translate 로 설정하고 다음과 같이 보안 그룹 및 NACL 규칙을 구성합니다:
VPN 서버의 VPN 변환 라우트에 대한 보안 그룹 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스/대상 유형 |
소스 |
값 |
| 인바운드 |
모두 |
CIDR 블록 |
10.187.190.0/26 |
임의 |
| 아웃바운드 |
모두 |
CIDR 블록 |
10.187.190.0/26 |
임의 |
VPN 서버 서브넷의 VPN 변환 경로에 대한 NACL 규칙
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
10.187.190.0/26 |
임의 |
10.240.64.0/24 |
임의 |
| 인바운드 |
모두 |
10.187.190.0/26 |
임의 |
10.240.129.0/24 |
임의 |
| 아웃바운드 |
모두 |
10.240.64.0/24 |
임의 |
10.187.190.0/26 |
임의 |
| 아웃바운드 |
모두 |
10.240.129.0/24 |
임의 |
10.187.190.0/26 |
임의 |
대상 방화벽 디바이스의 VPN 변환 라우트에 대한 방화벽 규칙(선택사항)
| 인바운드/아웃바운드 규칙 |
프로토콜 |
소스 IP |
소스 포트 |
대상 IP |
대상 포트 |
| 인바운드 |
모두 |
10.240.64.0/24 |
임의 |
10.187.190.0/26 |
임의 |
| 인바운드 |
모두 |
10.240.129.0/24 |
임의 |
10.187.190.0/26 |
임의 |
| 아웃바운드 |
모두 |
10.187.190.0/26 |
임의 |
10.240.64.0/24 |
임의 |
| 아웃바운드 |
모두 |
10.187.190.0/26 |
임의 |
10.240.129.0/24 |
임의 |