Cloud Next Generation Firewall 애플리케이션 계층 검사는 리소스에 고급 보호 기능을 제공합니다. Google Cloud 애플리케이션 계층 검사 (딥 패킷 검사 또는 레이어 7 검사라고도 함)는 방화벽을 통과할 때 네트워크 패킷의 콘텐츠를 검사하는 보안 프로세스입니다.
이 문서에서는 Cloud NGFW에서 애플리케이션 계층 검사에 사용되는 서비스 및 구성요소를 설명합니다.
애플리케이션 계층 검사 서비스
Cloud NGFW는 URL 필터링 서비스와 침입 감지 및 방지 서비스라는 두 가지 애플리케이션 계층 검사 서비스를 제공합니다. 애플리케이션 계층 검사 기능은 Cloud NGFW Enterprise 등급에서 사용할 수 있습니다. 자세한 내용은 Cloud NGFW Enterprise를 참조하세요.
URL 필터링 서비스
URL 필터링 서비스를 사용하면 특정 URL을 차단하거나 허용하여 웹사이트에 대한 액세스를 제어할 수 있습니다. 이 서비스는 서버 이름 표시 (SNI)를 사용하여 도메인별로 필터링할 수 있습니다. 자세한 내용은 URL 필터링 서비스 개요를 참조하세요.
침입 감지 및 방지 서비스
침입 감지 및 방지 서비스는 워크로드 트래픽에서 악의적인 활동을 지속적으로 모니터링하고 방지를 위한 사전 조치를 취합니다. Google Cloud 악의적인 활동에는 네트워크에 대한 침입, 멀웨어, 스파이웨어, 명령어 및 제어 공격과 같은 위협이 포함될 수 있습니다. 자세한 내용은 침입 감지 및 방지 서비스 개요를 참조하세요.
핵심 구성요소
애플리케이션 계층 검사 서비스는 다음 구성요소를 사용합니다.
방화벽 엔드포인트 및 방화벽 엔드포인트 연결: 방화벽 엔드포인트는 네트워크에서 딥 패킷 검사를 수행하는 Google에서 관리하는 영역 리소스입니다. 방화벽 엔드포인트 연결은 방화벽 엔드포인트를 VPC 네트워크의 영역에 연결합니다. 트래픽을 검사하려는 리전의 영역당 하나의 엔드포인트를 만듭니다. 자세한 내용은 다음 항목을 참조하세요. 방화벽 엔드포인트 개요
암호화된 트래픽의 콘텐츠를 검사하려면 TLS 검사 정책을 만들고 방화벽 엔드포인트 연결에 정책을 추가합니다. 자세한 내용은 TLS 검사 개요를 참조하세요.
보안 프로필: 특정 보안 서비스의 구성을 포함하는 객체입니다. 방화벽 엔드포인트는 보안 프로필을 사용하여 가로채기된 트래픽을 검사합니다. 자세한 내용은 보안 프로필 개요를 참조하세요.
Cloud NGFW는 다음과 같은 유형의 보안 프로필을 지원합니다.
url-filtering: URL 필터링 서비스의 규칙을 정의합니다.threat-prevention: 침입 감지 및 방지 서비스를 구성합니다.
보안 프로필 그룹: 보안 프로필의 컨테이너입니다. 보안 프로필 그룹에는 각 유형의 보안 프로필이 하나만 포함될 수 있습니다. 자세한 내용은 보안 프로필 그룹 개요를 참조하세요.
apply_security_profile_group작업: 검사를 위해 가로채기된 트래픽을 방화벽 엔드포인트로 리디렉션하는 방화벽 규칙 작업입니다. 자세한 내용은 일치 시 작업를 참조하세요.
핵심 구성요소가 함께 작동하는 방식을 이해하려면 URL 필터링 서비스 작동 방식 및 침입 감지 및 방지 서비스 작동 방식을 참조하세요.