Cloud Next Generation Firewall의 방화벽 규칙은 정의된 기준에 따라 Virtual Private Cloud (VPC) 네트워크 내에서 트래픽을 허용할지 거부할지 결정합니다. Cloud NGFW 방화벽 정책을 사용하면 여러 방화벽 규칙을 그룹화할 수 있으므로 한 번에 모든 규칙을 업데이트하고 Identity and Access Management (IAM) 역할로 효과적으로 제어할 수 있습니다.
이 문서에서는 다양한 유형의 방화벽 정책과 방화벽 정책 규칙을 간략하게 설명합니다.
방화벽 정책
Cloud NGFW는 다음 유형의 방화벽 정책을 지원합니다.
계층식 방화벽 정책
계층식 방화벽 정책을 사용하면 1개 이상의 프로젝트에서 여러 VPC 네트워크에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다. 계층식 방화벽 정책을 전체 조직 또는 개별 폴더와 연결할 수 있습니다.
계층식 방화벽 정책 사양과 세부정보는 계층식 방화벽 정책을 참조하세요.
전역 네트워크 방화벽 정책 수
전역 네트워크 방화벽 정책을 사용하면 VPC 네트워크의 모든 리전에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다.
전역 네트워크 방화벽 정책 사양 및 세부정보는 전역 네트워크 방화벽 정책을 참조하세요.
리전 네트워크 방화벽 정책 수
리전 네트워크 방화벽 정책을 사용하면 VPC 네트워크의 특정 리전에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다.
리전 방화벽 정책 사양과 세부정보는 리전 네트워크 방화벽 정책을 참조하세요.
리전 시스템 방화벽 정책
리전 시스템 방화벽 정책은 리전 네트워크 방화벽 정책과 유사하지만 Google에서 관리합니다. 리전 시스템 방화벽 정책에는 다음과 같은 특징이 있습니다.
Google Cloud 는 계층식 방화벽 정책의 규칙을 평가한 직후 리전 시스템 방화벽 정책의 규칙을 평가합니다. 자세한 내용은 방화벽 규칙 평가 프로세스를 참고하세요.
방화벽 규칙 로깅을 사용 설정하거나 사용 중지하는 경우를 제외하고 리전 시스템 방화벽 정책의 규칙을 수정할 수 없습니다.
Google Cloud Google 서비스에 네트워크의 해당 리전의 규칙이 필요한 경우 VPC 네트워크의 리전에 리전 시스템 방화벽 정책을 만듭니다. Google Cloud Google 서비스의 요구사항에 따라 VPC 네트워크의 리전에 두 개 이상의 리전 시스템 방화벽 정책을 연결할 수 있습니다.
리전 시스템 방화벽 정책의 규칙 평가에는 요금이 청구되지 않습니다.
네트워크 프로필 상호작용
일반 VPC 네트워크는 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책, VPC 방화벽 규칙의 방화벽 규칙을 지원합니다. 모든 방화벽 규칙은 Andromeda 네트워크 가상화 스택의 일부로 프로그래밍됩니다.
특정 네트워크 프로필을 사용하는 VPC 네트워크는 사용할 수 있는 방화벽 정책 및 규칙 속성을 제한합니다. RoCE VPC 네트워크의 경우 이 페이지 대신 RoCE VPC 네트워크용 Cloud NGFW를 참고하세요.
방화벽 정책 규칙
Google Cloud에서 방화벽 정책 규칙에는 네트워크로 들어오는 트래픽을 제어하는지 아니면 네트워크에서 나가는 트래픽을 제어하는지를 결정하는 방향이 있습니다. 각 방화벽 정책 규칙은 수신 (인그레스) 또는 송신 (이그레스) 연결에 적용됩니다.
인그레스 규칙
인그레스 방향은 특정 소스에서 Google Cloud 타겟으로 전송된 수신 연결을 의미합니다. 인그레스 규칙은 다음 유형의 타겟에 도착하는 인바운드 패킷에 적용됩니다.
- 가상 머신 (VM) 인스턴스의 네트워크 인터페이스
- 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기를 지원하는 관리형 Envoy 프록시
deny 작업이 있는 인그레스 규칙은 들어오는 연결을 차단하여 타겟을 보호합니다. 우선순위가 더 높은 규칙에서 트래픽을 허용하면 방화벽에서 이를 허용하고 동일한 트래픽을 거부할 수 있는 우선순위가 낮은 규칙을 무시합니다. 우선순위가 높은 규칙이 항상 우선 적용됩니다.
자동으로 생성되는 기본 네트워크에는 특정 유형의 트래픽에 대한 인그레스를 허용하는 자동 입력된 VPC 방화벽 규칙이 포함됩니다.
이그레스 규칙
이그레스 방향은 VM 네트워크 인터페이스와 같은 대상Google Cloud 리소스에서 대상으로 전송된 아웃바운드 트래픽을 의미합니다.
allow 작업이 있는 이그레스 규칙을 사용하면 인스턴스에서 규칙에 지정된 대상으로 트래픽을 전송할 수 있습니다. 이그레스 트래픽이 우선순위가 높은 deny 규칙과 일치하면 차단됩니다. 이 작업은 트래픽을 허용할 수 있는 우선순위가 낮은 규칙보다 우선합니다. Google Cloud 는 또한 특정 종류의 트래픽을 차단하거나 제한합니다.
다음 단계
- 계층식 방화벽 정책 및 규칙을 만들고 수정하려면 계층식 방화벽 정책 및 규칙 사용을 참고하세요.
- 전역 네트워크 방화벽 정책과 규칙을 만들고 수정하려면 전역 네트워크 방화벽 정책 및 규칙 사용을 참고하세요.
- 리전 네트워크 방화벽 정책과 규칙을 만들고 수정하려면 리전 네트워크 방화벽 정책 및 규칙 사용을 참고하세요.