방화벽 정책

방화벽 정책을 사용하면 여러 방화벽 규칙을 그룹화할 수 있으므로 한 번에 모든 규칙을 업데이트하고 Identity and Access Management(IAM) 역할로 효과적으로 제어할 수 있습니다. 이러한 정책에는 Virtual Private Cloud(VPC) 방화벽 규칙과 같이 연결을 명시적으로 거부하거나 허용할 수 있는 규칙이 포함됩니다.

계층식 방화벽 정책

계층식 방화벽 정책을 사용하면 1개 이상의 프로젝트에서 여러 VPC 네트워크에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다. 계층식 방화벽 정책을 전체 조직 또는 개별 폴더와 연결할 수 있습니다.

계층식 방화벽 정책 사양과 세부정보는 계층식 방화벽 정책을 참조하세요.

전역 네트워크 방화벽 정책 수

전역 네트워크 방화벽 정책을 사용하면 모든 리전 (전역)에 적용되는 정책 객체로 규칙을 그룹화할 수 있습니다. 방화벽 정책은 VPC 네트워크와 연결될 때까지 적용되지 않습니다. 전역 네트워크 방화벽 정책을 네트워크와 연결하려면 네트워크와 정책 연결을 참고하세요. 전역 네트워크 방화벽 정책을 VPC 네트워크와 연결한 후 정책의 규칙을 VPC 네트워크의 리소스에 적용할 수 있습니다. 네트워크 방화벽 정책은 VPC 네트워크에만 연결할 수 있습니다.

전역 네트워크 방화벽 정책 사양 및 세부정보는 전역 네트워크 방화벽 정책을 참조하세요.

리전 네트워크 방화벽 정책

리전 네트워크 방화벽 정책을 사용하면 특정 리전에 적용되는 정책 객체로 규칙을 그룹화할 수 있습니다. 리전 네트워크 방화벽 정책은 동일한 리전의 VPC 네트워크와 연결될 때까지 적용되지 않습니다. 리전 네트워크 방화벽 정책을 네트워크에 연결하려면 네트워크와 정책 연결을 참고하세요. 리전 네트워크 방화벽 정책을 VPC 네트워크와 연결한 후 정책의 규칙을 VPC 네트워크의 해당 리전에 있는 리소스에 적용할 수 있습니다.

리전 방화벽 정책 사양과 세부정보는 리전 네트워크 방화벽 정책을 참조하세요.

네트워크에 방화벽 정책 및 규칙 적용

일반 VPC 네트워크는 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책, VPC 방화벽 규칙의 방화벽 규칙을 지원합니다. 모든 방화벽 규칙은 Andromeda 네트워크 가상화 스택의 일부로 프로그래밍됩니다.

RoCE VPC 네트워크의 경우 이 섹션 대신 RoCE VPC 네트워크용 Cloud NGFW를 참고하세요.

네트워크 방화벽 정책 시행 순서

각 일반 VPC 네트워크에는 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책의 규칙이 평가되는 시점을 제어하는 네트워크 방화벽 정책 시행 순서가 있습니다.

  • AFTER_CLASSIC_FIREWALL (기본값): Cloud NGFW는 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책의 규칙을 평가하기 전에 VPC 방화벽 규칙을 평가합니다.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW는 VPC 방화벽 규칙을 평가하기 전에 전역 네트워크 방화벽 정책과 리전 네트워크 방화벽 정책의 규칙을 평가합니다.

네트워크 방화벽 정책 적용 순서를 변경하려면 다음 중 하나를 수행하세요.

  • networks.patch 메서드를 사용하여 VPC 네트워크의 networkFirewallPolicyEnforcementOrder 속성을 설정합니다.

  • --network-firewall-policy-enforcement-order 플래그와 함께 gcloud compute networks update 명령어를 사용합니다.

    예를 들면 다음과 같습니다.

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

방화벽 규칙 평가 프로세스

Cloud NGFW는 지정된 패킷에 대해 트래픽 방향에만 기반하여 다음 규칙을 평가합니다.

  • 대상 리소스가 패킷을 수신하는 경우 인그레스 방화벽 규칙
  • 대상 리소스가 패킷을 전송하는 경우 이그레스 방화벽 규칙

Cloud NGFW는 특정 순서로 방화벽 규칙을 평가합니다. 순서는 네트워크 방화벽 정책 시행 순서에 따라 달라지며, AFTER_CLASSIC_FIREWALL 또는 BEFORE_CLASSIC_FIREWALL일 수 있습니다.

AFTER_CLASSIC_FIREWALL 시행 순서의 규칙 평가 순서

AFTER_CLASSIC_FIREWALL 네트워크 방화벽 정책 시행 순서에서 Cloud NGFW는 계층식 방화벽 정책의 규칙을 평가한 후 VPC 방화벽 규칙을 평가합니다. 이것이 기본 평가 순서입니다.

방화벽 규칙은 다음 순서로 평가됩니다.

  1. 계층식 방화벽 정책

    Cloud NGFW는 다음 순서로 계층식 방화벽 정책을 평가합니다.

    1. 타겟 리소스가 포함된 조직과 연결된 계층식 방화벽 정책입니다.
    2. 최상위 폴더에서 타겟 리소스의 프로젝트가 포함된 폴더까지 폴더 상위 항목과 연결된 계층식 방화벽 정책입니다.

    각 계층식 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    계층식 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 다음 중 하나로 계속됩니다.
      • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
      • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

    계층적 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가를 다음 중 하나로 계속합니다.

    • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
    • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

  2. VPC 방화벽 규칙.

    VPC 방화벽 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    하나 또는 두 개의 VPC 방화벽 규칙이 트래픽과 일치하는 경우 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.

    두 규칙이 일치하는 경우 우선순위는 동일하지만 작업은 달라야 합니다. 이 경우 Cloud NGFW는 deny VPC 방화벽 규칙을 적용하고 allow VPC 방화벽 규칙은 무시합니다.

    트래픽과 일치하는 VPC 방화벽 규칙이 없으면 Cloud NGFW는 묵시적 goto_next 작업을 사용하여 평가 순서의 다음 단계로 진행합니다.

  3. 전역 네트워크 방화벽 정책

    전역 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    전역 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 평가 순서의 리전 네트워크 방화벽 정책 단계로 계속됩니다.

    전역 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서에서 리전 네트워크 방화벽 정책 단계로 평가를 계속합니다.

  4. 리전 네트워크 방화벽 정책

    Cloud NGFW는 대상 리전의 리전 네트워크 방화벽 정책과 VPC 네트워크의 규칙을 평가합니다.

    리전 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    리전 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • goto_next: 규칙 평가가 평가 순서의 다음 단계로 계속됩니다.

    리전 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서의 다음 단계로 평가를 계속합니다.

  5. 묵시적 방화벽 규칙

    Cloud NGFW는 트래픽과 일치하는 모든 규칙에 명시적 goto_next 작업이 있거나 암시적 goto_next 작업을 따라 규칙 평가가 계속되는 경우 다음 암시적 방화벽 규칙을 적용합니다.

    • 묵시적 이그레스 허용
    • 묵시적 인그레스 거부

다음 다이어그램은 네트워크 방화벽 정책 시행 순서가 AFTER_CLASSIC_FIREWALL인 경우의 평가 순서를 보여줍니다.

방화벽 규칙 확인 흐름
그림 1. 네트워크 방화벽 정책 시행 순서가 AFTER_CLASSIC_FIREWALL인 경우의 방화벽 규칙 확인 흐름(확대하려면 클릭)

BEFORE_CLASSIC_FIREWALL 시행 순서의 규칙 평가 순서

BEFORE_CLASSIC_FIREWALL 네트워크 방화벽 정책 시행 순서에서 Cloud NGFW는 네트워크 방화벽 정책의 규칙을 평가한 후 VPC 방화벽 규칙을 평가합니다.

방화벽 규칙은 다음 순서로 평가됩니다.

  1. 계층식 방화벽 정책

    Cloud NGFW는 다음 순서로 계층식 방화벽 정책을 평가합니다.

    1. 타겟 리소스가 포함된 조직과 연결된 계층식 방화벽 정책입니다.
    2. 최상위 폴더에서 타겟 리소스의 프로젝트가 포함된 폴더까지 폴더 상위 항목과 연결된 계층식 방화벽 정책입니다.

    각 계층식 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    계층식 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 다음 중 하나로 계속됩니다.
      • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
      • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

    계층적 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가를 다음 중 하나로 계속합니다.

    • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
    • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

  2. 전역 네트워크 방화벽 정책

    전역 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    전역 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 평가 순서의 리전 네트워크 방화벽 정책 단계로 계속됩니다.

    전역 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서에서 리전 네트워크 방화벽 정책 단계로 평가를 계속합니다.

  3. 리전 네트워크 방화벽 정책

    Cloud NGFW는 대상 리전의 리전 네트워크 방화벽 정책과 VPC 네트워크의 규칙을 평가합니다. 동일한 리전 및 네트워크와 연결된 정책이 여러 개인 경우 연결 우선순위가 가장 높은 정책이 먼저 평가됩니다.

    리전 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    리전 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • goto_next: 규칙 평가가 평가 순서의 다음 단계로 계속됩니다.

    리전 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서의 다음 단계로 평가를 계속합니다.

  4. VPC 방화벽 규칙.

    VPC 방화벽 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    하나 또는 두 개의 VPC 방화벽 규칙이 트래픽과 일치하는 경우 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.

    두 규칙이 일치하는 경우 우선순위는 동일하지만 작업은 달라야 합니다. 이 경우 Cloud NGFW는 deny VPC 방화벽 규칙을 적용하고 allow VPC 방화벽 규칙은 무시합니다.

    트래픽과 일치하는 VPC 방화벽 규칙이 없으면 Cloud NGFW는 묵시적 goto_next 작업을 사용하여 평가 순서의 다음 단계로 진행합니다.

  5. 묵시적 방화벽 규칙

    Cloud NGFW는 트래픽과 일치하는 모든 규칙에 명시적 goto_next 작업이 있거나 암시적 goto_next 작업을 따라 규칙 평가가 계속되는 경우 다음 암시적 방화벽 규칙을 적용합니다.

    • 묵시적 이그레스 허용
    • 묵시적 인그레스 거부

다음 다이어그램은 네트워크 방화벽 정책 시행 순서가 BEFORE_CLASSIC_FIREWALL인 경우의 평가 순서를 보여줍니다.

방화벽 규칙 확인 흐름
그림 2. 네트워크 방화벽 정책 시행 순서가 BEFORE_CLASSIC_FIREWALL인 경우의 방화벽 규칙 확인 흐름 (확대하려면 클릭)

유효 방화벽 규칙

계층식 방화벽 정책 규칙, VPC 방화벽 규칙, 전역 및 리전 네트워크 방화벽 정책 규칙에서 연결을 제어합니다. 개별 네트워크나 VM 인터페이스에 영향을 미치는 모든 방화벽 규칙을 확인하면 도움이 됩니다.

네트워크 유효 방화벽 규칙

VPC 네트워크에 적용되는 모든 방화벽 규칙을 볼 수 있습니다. 이 목록에는 다음과 같은 종류의 규칙이 모두 포함됩니다.

  • 계층식 방화벽 정책에서 상속된 규칙
  • VPC 방화벽 규칙
  • 전역 및 리전 네트워크 방화벽 정책에서 적용되는 규칙

인스턴스 유효 방화벽 규칙

VM의 네트워크 인터페이스에 적용되는 모든 방화벽 규칙을 볼 수 있습니다. 이 목록에는 다음과 같은 종류의 규칙이 모두 포함됩니다.

  • 계층식 방화벽 정책에서 상속된 규칙
  • 인터페이스의 VPC 방화벽에서 적용되는 규칙
  • 전역 및 리전 네트워크 방화벽 정책에서 적용되는 규칙

규칙 순서는 조직 수준에서 VPC 네트워크 순으로 정해집니다. VM 인터페이스에 적용되는 규칙만 표시됩니다. 다른 정책의 규칙은 표시되지 않습니다.

리전 내 유효 방화벽 정책 규칙을 보려면 네트워크의 유효 리전 방화벽 정책 가져오기를 참고하세요.

사전 정의된 규칙

계층식 방화벽 정책, 전역 네트워크 방화벽 정책 또는 리전 네트워크 방화벽 정책을 만들면 Cloud NGFW가 사전 정의된 규칙을 정책에 추가합니다. Cloud NGFW가 정책에 추가하는 사전 정의된 규칙은 정책을 만드는 방법에 따라 달라집니다.

Google Cloud 콘솔을 사용하여 방화벽 정책을 만들면 Cloud NGFW는 다음 규칙을 새 정책에 추가합니다.

  1. 비공개 IPv4 범위의 goto-next 규칙
  2. 사전 정의된 Google 위협 인텔리전스 거부 규칙
  3. 사전 정의된 위치정보 거부 규칙
  4. 우선순위가 가장 낮은 goto-next 규칙

Google Cloud CLI 또는 API를 사용하여 방화벽 정책을 만드는 경우 Cloud NGFW는 우선순위가 가장 낮은 goto-next 규칙만 정책에 추가합니다.

새 방화벽 정책의 모든 사전 정의된 규칙은 낮은 우선순위(큰 우선순위 번호)를 의도적으로 사용하므로 우선순위가 더 높은 규칙을 만들어 재정의할 수 있습니다. 우선순위가 가장 낮은 goto-next 규칙을 제외하고 사전 정의된 규칙을 맞춤설정할 수도 있습니다.

비공개 IPv4 범위의 goto-next 규칙

  • 대상 IPv4 범위 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위 1000, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv4 범위 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위 1001, goto_next 작업이 있는 인그레스 규칙

사전 정의된 Google 위협 인텔리전스 거부 규칙

  • 소스 Google Threat Intelligence 목록 iplist-tor-exit-nodes, 우선순위 1002, deny 작업이 있는 인그레스 규칙

  • 소스 Google Threat Intelligence 목록 iplist-known-malicious-ips, 우선순위 1003, deny 작업이 있는 인그레스 규칙

  • 대상 Google Threat Intelligence 목록 iplist-known-malicious-ips, 우선순위 1004, deny 작업이 있는 이그레스 규칙

Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.

사전 정의된 위치정보 거부 규칙

  • 소스 일치 위치정보 CU, IR, KP, SY, XC, XD, 우선순위 1005, deny 작업이 있는 인그레스 규칙

위치정보에 대한 자세한 내용은 위치정보 객체를 참조하세요.

우선순위가 가장 낮은 goto-next 규칙

다음 규칙은 수정하거나 삭제할 수 없습니다.

  • 대상 IPv6 범위 ::/0, 우선순위 2147483644, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv6 범위 ::/0, 우선순위 2147483645, goto_next 작업이 있는 인그레스 규칙

  • 대상 IPv4 범위 0.0.0.0/0, 우선순위 2147483646, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv4 범위 0.0.0.0/0, 우선순위 2147483647, goto_next 작업이 있는 인그레스 규칙

다음 단계