카테고리 없음

✅ AWS WAF IP 차단 관련 주요 제한 사항

idea9329 2025. 5. 12. 10:39
반응형

 

1. IPSet에 등록 가능한 최대 IP 수

항목기본 제한

IPv4 주소 수 최대 10,000개
IPv6 주소 수 최대 1,000개

IPSet 하나에 위 숫자만큼 등록할 수 있고, 여러 IPSet을 조합하여 더 많은 주소를 관리할 수는 있지만, 성능과 비용에 영향을 줄 수 있음.


2. WebACL 당 Rule 개수

항목기본 제한

WebACL에 설정 가능한 Rule 수 최대 150개
한 RuleGroup당 Rule 수 최대 100개

IPSet 기반 차단은 보통 하나의 Rule로 처리하므로, IP 차단이 많더라도 Rule 수 제한에는 잘 걸리지 않음.


3. 전체 WebACL 용량 단위 (Capacity Units) 제한

AWS WAF는 **WCU (WAF Capacity Unit)**라는 단위로 리소스를 제한합니다.

항목기본 제한

WebACL 전체 WCU 최대 1,500 WCU
IPSet 기반 Rule ~1 WCU / IP address (대략)

📌 참고: IPSet을 여러 개로 쪼개서 쓰는 전략

IP 주소가 10,000개 이상일 경우:

  • IPSet을 여러 개로 나눠서 각각 Rule로 등록
  • 또는 AWS Firewall Manager를 사용해 다수의 계정/리전에 적용할 수도 있음

🔒 실시간 자동 차단 자동화 예시

많은 사용자가 다음처럼 Lambda + WAF + CloudWatch를 활용하여 자동으로 악성 IP를 차단하는 시스템을 구성합니다:

  • CloudWatch Logs에서 이상 징후 IP 추적
  • Lambda로 IPSet 업데이트
  • WAF Rule에 적용

하지만 이 경우에도 10,000개 이상 쌓이면 오래된 IP 제거 or 별도 정책 처리가 필요합니다.


🧠 결론

  • IP 차단은 IPSet당 최대 10,000개가 기본 제한입니다.
  • 수십만 개 이상 IP를 관리해야 한다면, Lambda 자동화, Firewall Manager, 또는 외부 보안 솔루션 연동을 고려해야 합니다.
반응형
댓글수0