방화벽 로그는 네트워크 보안에서 가장 기본이 되는 데이터이며, 출발지 IP, 목적지 IP, 포트, 정책명, action 값을 기반으로 통신의 정상 여부와 위험도를 판단한다. 단순히 allowed 또는 denied만 보는 것이 아니라, 전체 흐름과 맥락을 함께 분석하는 것이 중요하다.
allowed는 정책상 허용된 통신이며, denied는 차단된 통신이다.
하지만 allowed라고 해서 반드시 정상 트래픽을 의미하지는 않으며,
denied라고 해서 무조건 안전한 상황이라고 판단할 수도 없다.
allowed는 방화벽 정책에 의해 통신이 허용되었음을 의미한다.
denied 로그는 방화벽 정책에 의해 차단된 통신을 의미한다.
출발지, 목적지, 포트, 반복성을 함께 분석해야 한다.
외부 IP에서 내부 서버 대상으로 방화벽 허용 로그가 확인되었습니다.
action 값만이 아니라 전체 흐름 기반 분석이 중요하다.