Stateful Firewall
상태 기반 방화벽은 왕복 흐름을 같은 상태로 보길 원한다
상태 기반 방화벽은 SYN, SYN-ACK, ACK 흐름을 추적한다. 돌아오는 패킷이 다른 방화벽을 통과하면 세션 정보가 없어 차단될 수 있다.
비대칭 경로 자체보다 상태 불일치가 문제다
세션 동기화나 대칭 라우팅으로 해결한다
클라우드 다중 AZ와 이중 방화벽에서 자주 만난다
Outbound
방화벽 A가 세션을 기억
SYN
ClientFW-AServer
State
5-tuple 저장허용
↔
Return
방화벽 B는 세션을 모름
SYN-ACK
ServerFW-BClient
Drop
state 없음차단 가능
운영 해법: 경로를 대칭으로 만들거나, 방화벽 클러스터가 세션 상태를 공유하도록 구성한다.