[AWS] AWS Network Firewall이란? - (2.3) 결합형 배포모델

AWS Network Firewall의 세가지 배포모델 중, 
1) 분산형 2) 중앙 집중형 에 이어서 오늘은 3) 결합형 배포모델에 대해 알아보겠다.

 

(이전 배포 모델을 안보셨다면 보고 오시길 추천. 분산형과 중앙집중형을 모르고선 결합형을 이해할 수 없음.)

minjoos.tistory.com/10

[AWS] AWS Network Firewall이란? - (2.1) 분산형 배포모델

minjoos.tistory.com/12

[AWS] AWS Network Firewall이란? - (2.2) 중앙집중형 배포모델

 

 

결합형은 이름에서 유추할 수 있듯이 분산형과 중앙집중형을 적절히 섞은 모델이다.

 

기억을 더듬어보자.

분산형은 필요한 각 VPC에 네트워크 방화벽을 배포한 구조였고

중앙집중형은 중앙의 Inspection VPC에 네트워크 방화벽을 배포한 구조였다.

 

즉 이 두 모델을 적절히 섞었다는 말은
중앙 Inspection VPC도 존재하고, 필요한 각 VPC에도 방화벽을 배포할 수 있다는 것이다.

 

아래 두가지 유형을 살펴보며 더 자세히 이해해보자.

 

1) 

이 그림을 보면 우측 상단에 Inspection VPC가 있고, Spoke VPC B에는 자체적인 Firewall endpoint가 존재한다.

 

자체적인 VPC가 없는 경우(중앙집중형, 위 그림에서는 Spoke VPC A의 경우)에는

외부 인터넷과 송수신하기 위해서는 Inspection VPC를 거쳐야했다.

하지만 Spoke VPC B의 경우에는 자체적인 인터넷 게이트웨이와 Firewall endpoint가 존재하기 때문에

트래픽은 추가적인 구성 없이도 바로 내부 인스턴스로 들어올 수 있다.

 

2)

1번 그림에서 무엇인가 추가되었다.

추가된 것은 무엇일까? (틀린그림 찾기 수준)

 

바로 Central Egress VPC에 자체적인 Firewall endpoint가 배포된 것이다.

장점이 무엇인가?

 

원래 vpc와 인터넷 사이의 송수신을 하기 위해서는 Inspection VPC의 네트워크 방화벽을 거치는 별도의 트래픽이 필요했다. 하지만 Central Egress VPC에 전용 Firewall endpoint를 구성함으로써

트래픽이 Inspection VPC를 거치지 않고 Spoke VPC A에서 Central Egress VPC로 직접 이동하므로

데이터 처리 비용을 절감할 수 있다.

 

---

 

결합형은 이렇듯 

중앙집중형의 Inspection VPC와각각의 VPC에 필요시 네트워크 방화벽을 배포할 수 있는 분산형의 성질을 모두 갖고있는 모델이다.

 

여기서는 두 개의 유형밖에 살펴보지 않았지만,

어느 VPC에 얼마만큼의 방화벽 엔드포인트를 배포하느냐에 따라 그 종류는 무궁무진할 것이다.

 

 

그럼 여기서 배포 모델 설명은 마치겠다.

 

다음엔 실제로 방화벽 환경 구성 + 필터링 테스트로 돌아옵니다.

 

안뇽