ACL 우선순위

접근 제어는 표가 아니라 위에서 아래로 멈추는 룰 체인이다

ACL은 출발지, 목적지, 프로토콜, 포트가 맞는 첫 규칙에서 결론이 난다. 넓은 허용이 위에 있으면 아래의 세밀한 차단 규칙은 존재해도 효과가 없고, 마지막 기본 차단까지 도달하는지도 로그로 확인해야 한다.

우선순위 10 관리망은 DB 관리 포트 허용 10.20.0.0/24 → DB:5432 결과: 조건 불일치 출발지가 관리망이 아니므로 다음 규칙으로 내려간다.
우선순위 20 허용 업무망 전체에서 DB망으로 허용 10.10.0.0/16 → 10.30.0.0/16 결과: 여기서 매칭 너무 넓은 허용이 아래의 세밀한 차단을 가린다.
우선순위 30 업무망에서 DB 직접 접속 차단 10.10.0.0/16 → DB:5432 결과: 도달하지 않음 규칙은 있지만 위에서 이미 허용되어 hit count가 늘지 않는다.
기본 차단 나머지는 거부하고 기록 any → any 결과: 평가 종료 뒤 적용 이 줄까지 내려오는 흐름이 있는지 로그 샘플로 본다.
좁은 예외를 먼저 둔다 특정 서버, 특정 포트, 특정 방향의 규칙이 넓은 대역 규칙보다 앞에 있어야 한다.
반환 트래픽을 구분한다 장비가 상태를 추적하지 않으면 응답 방향 규칙도 별도로 필요하다.
임시 허용은 만료를 둔다 요청자, 기간, 대상 서비스를 남기지 않으면 예외가 영구 정책이 된다.
hit count 중요 차단 규칙이 계속 0이면 위 규칙에 가려졌을 가능성이 있다.
차단 로그 샘플 정상 업무가 막히는지, 의도한 공격 흐름이 막히는지 분리한다.
변경 전후 비교 규칙 추가 뒤 허용된 출발지와 포트의 범위가 넓어지지 않았는지 본다.