방화벽 정책 규칙

방화벽 정책 규칙을 만들 때 규칙 역할을 정의하는 구성요소 집합을 지정합니다. 이러한 구성요소는 트래픽 방향, 소스, 대상, 프로토콜 및 대상 포트(프로토콜이 포트를 사용하는 경우)와 같은 레이어 4 특성을 지정합니다.

각 방화벽 정책 규칙은 수신(인그레스)이나 송신(이그레스) 연결 중 하나에 적용됩니다. 두 연결 모두에 함께 적용되지는 않습니다.

인그레스 규칙

인그레스 방향은 특정 소스에서 Google Cloud 타겟으로 전송된 수신 연결을 의미합니다. 인그레스 규칙은 패킷의 대상이 타겟인 경우 인바운드 패킷에 적용됩니다.

deny 작업이 있는 인그레스 규칙은 들어오는 연결을 차단하여 모든 인스턴스를 보호합니다. 우선순위가 더 높은 규칙은 수신 액세스를 허용할 수도 있습니다. 자동으로 생성되는 기본 네트워크에는 특정 유형의 트래픽에 대한 인그레스를 허용하는 자동 입력된 VPC 방화벽 규칙이 포함됩니다.

이그레스 규칙

이그레스 방향은 타겟에서 대상으로 전송된 아웃바운드 트래픽을 의미합니다. 이그레스 규칙은 패킷의 소스가 타겟인 경우 새 연결의 패킷에 적용됩니다.

allow 작업이 있는 이그레스 규칙을 사용하면 인스턴스에서 규칙에 지정된 대상으로 트래픽을 전송할 수 있습니다. 이그레스는 우선순위가 더 높은 deny 방화벽 규칙에 의해 거부될 수 있습니다. Google Cloud 는 또한 특정 유형의 트래픽을 차단하거나 제한합니다.

방화벽 정책 규칙 구성요소

계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책의 규칙은 이 섹션에 설명된 구성요소를 사용합니다. 방화벽 정책이라는 용어는 이러한 세 가지 유형의 정책을 의미합니다. 방화벽 정책 유형에 대한 자세한 내용은 방화벽 정책을 참조하세요.

방화벽 정책 규칙은 일반적으로 VPC 방화벽 규칙과 동일하게 작동하지만 다음 섹션에서 설명하듯이 몇 가지 차이점이 있습니다.

우선순위

방화벽 정책의 규칙 우선순위는 0~2,147,483,647(포함) 사이의 정수입니다. 낮은 정수는 높은 우선 순위를 나타냅니다. 방화벽 정책 내 규칙의 우선순위는 VPC 방화벽 규칙의 우선순위와 비슷하지만 다음과 같은 차이가 있습니다.

• 방화벽 정책의 각 규칙에는 고유한 우선순위가 있어야 합니다.
• 방화벽 정책의 규칙 우선순위는 규칙의 고유 식별자로 사용됩니다. 방화벽 정책의 규칙은 식별을 위해 이름을 사용하지 않습니다.
• 방화벽 정책의 규칙 우선순위는 방화벽 정책 자체의 평가 순서를 정의합니다. VPC 방화벽 규칙과 계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책의 규칙은 정책 및 규칙 평가 순서에 설명된 대로 평가됩니다.

일치 시 작업

방화벽 정책의 규칙에는 다음 작업 중 하나가 있을 수 있습니다.

작업 매개변수	설명
allow	새 연결의 패킷을 허용합니다. 일치하는 규칙이 포함된 방화벽 정책의 규칙 평가를 중지합니다. 다른 방화벽 규칙은 평가하지 않습니다. 규칙의 방향과 관계없이 패킷 프로토콜과 방화벽 정책 유형이 연결 추적을 지원하는 경우 허용 규칙은 인그레스 및 이그레스 패킷을 모두 허용하는 방화벽 연결 추적 테이블 항목을 만듭니다.
deny	새 연결의 패킷을 허용하지 않습니다. 일치하는 규칙이 포함된 방화벽 정책의 규칙 평가를 중지합니다. 다른 방화벽 규칙은 평가하지 않습니다. Cloud NGFW는 방화벽 규칙을 평가하기 전에 항상 방화벽 연결 추적 테이블 항목을 확인합니다. 따라서 허용 규칙으로 연결 추적 테이블 항목이 생성된 경우 해당 연결 추적 테이블 항목이 우선합니다.
apply_security_profile_group	새 연결의 패킷을 가로채서 방화벽 엔드포인트 또는 가로채기 엔드포인트 그룹으로 전송합니다. 일치하는 규칙이 포함된 방화벽 정책의 규칙 평가를 중지합니다. 다른 방화벽 규칙은 평가하지 않습니다. 규칙의 방향과 관계없이 패킷 프로토콜과 방화벽 정책 유형이 연결 추적을 지원하는 경우 apply_security_profile_group 작업이 있는 규칙은 인그레스 및 이그레스 패킷이 모두 방화벽 엔드포인트 또는 인터셉트 엔드포인트 그룹에 의해 인터셉트되도록 방화벽 연결 추적 테이블 항목을 만듭니다. 리전 네트워크 방화벽 정책에서는 apply_security_profile_group 작업으로 규칙을 만들 수 없습니다.
goto_next	방화벽 정책의 다른 규칙 평가를 중지하고 방화벽 정책 및 규칙 평가 순서의 다음 단계에 있는 규칙을 평가합니다. 방화벽 정책 및 규칙 평가 순서의 다음 단계는 다른 방화벽 정책의 규칙 또는 암시적 방화벽 규칙 평가일 수 있습니다.

적용

상태를 사용 또는 중지로 설정하여 방화벽 정책 규칙을 적용할지 선택할 수 있습니다. 규칙을 생성하거나 규칙을 업데이트할 때 적용 상태를 설정합니다.

새 방화벽 규칙을 만들 때 적용 상태를 설정하지 않으면 방화벽 규칙이 자동으로 사용 설정됩니다.

프로토콜 및 포트

VPC 방화벽 규칙과 마찬가지로 규칙을 만들 때 프로토콜 및 포트 제약조건을 1개 이상 지정해야 합니다. 규칙에 TCP 또는 UDP를 지정할 때 프로토콜, 프로토콜 및 대상 포트, 프로토콜 및 대상 포트 범위를 지정할 수 있지만 포트 또는 포트 범위만 지정할 수는 없습니다. 또한 대상 포트만 지정할 수 있습니다. 소스 포트 기반의 규칙은 지원되지 않습니다.

방화벽 규칙에서 다음 프로토콜 이름을 사용할 수 있습니다. tcp, udp, icmp(IPv4 ICMP용), esp, ah, sctp, ipip 다른 모든 프로토콜의 경우 IANA 프로토콜 번호를 사용합니다.

많은 프로토콜이 IPv4와 IPv6 모두에서 동일한 이름과 번호를 사용하지만 ICMP와 같은 일부 프로토콜은 사용하지 않습니다. IPv4 ICMP를 지정하려면 icmp 또는 프로토콜 번호 1을 사용합니다. IPv6 ICMP를 지정하려면 프로토콜 번호 58을 사용합니다.

방화벽 규칙에서는 ICMP 유형과 코드 지정을 지원하지 않으며 프로토콜만 지원합니다.

IPv6 홉별 프로토콜은 방화벽 규칙에서 지원되지 않습니다.

프로토콜 및 포트 파라미터를 지정하지 않으면 규칙이 모든 프로토콜 및 대상 포트에 적용됩니다.

로깅

방화벽 정책 규칙의 로깅은 다음을 제외하고 VPC 방화벽 규칙 로깅과 동일하게 작동합니다.

• 참조 필드에는 방화벽 정책 ID와 정책이 연결된 리소스의 수준을 나타내는 번호가 포함됩니다. 예를 들어 0은 정책이 조직에 적용되는 경우 1은 정책이 조직의 최상위 폴더에 적용됨을 의미합니다.

• 방화벽 정책 규칙의 로그에는 규칙이 적용되는 VPC 네트워크를 식별하는 target_resource 필드가 포함됩니다.

• allow, deny, apply_security_profile_group 규칙에만 로깅을 사용 설정할 수 있으며 goto_next 규칙에는 사용 설정할 수 없습니다.

타겟, 소스, 대상

타겟 파라미터는 방화벽 규칙이 적용되는 인스턴스의 네트워크 인터페이스를 식별합니다.

인그레스 및 이그레스 방화벽 규칙 모두에 대해 패킷 소스 또는 대상에 적용되는 소스 파라미터 및 대상 파라미터를 모두 지정할 수 있습니다. 방화벽 규칙의 방향에 따라 소스 및 대상 파라미터에 사용할 수 있는 값이 결정됩니다.

타겟, 소스, 대상 파라미터가 함께 작동합니다.

대상

모든 인그레스 및 이그레스 방화벽 규칙에는 대상이 있습니다. 타겟은 방화벽 규칙이 적용되는 Compute Engine 인스턴스(Google Kubernetes Engine 노드 및 App Engine 가변형 환경 인스턴스 포함)의 네트워크 인터페이스를 식별합니다.

각 방화벽 규칙에는 가장 광범위한 타겟이 있으며, 타겟 매개변수 또는 타겟 매개변수 조합을 지정하면 범위를 좁힐 수 있습니다. 대상 매개변수나 대상 매개변수 조합을 지정하지 않으면 방화벽 규칙이 가장 광범위한 대상에 적용됩니다.

• 계층식 방화벽 정책의 규칙에 대한 가장 광범위한 타겟: 계층식 방화벽 정책과 연결된 Resource Manager 노드 (폴더 또는 조직) 아래의 프로젝트에 있는 모든 VPC 네트워크의 모든 리전에 있는 서브넷의 모든 VM 네트워크 인터페이스

• 전역 네트워크 방화벽 정책의 규칙에 대한 가장 광범위한 타겟: 전역 네트워크 방화벽 정책과 연결된 VPC 네트워크의 모든 리전에 있는 서브넷의 모든 VM 네트워크 인터페이스

• 리전 네트워크 방화벽 정책의 규칙에 대한 가장 광범위한 타겟: 리전 내 서브넷 및 리전 네트워크 방화벽 정책과 연결된 VPC 네트워크에 있는 모든 VM 네트워크 인터페이스

다음 표에는 방화벽 규칙의 타겟을 좁히는 데 사용할 수 있는 유효한 타겟 파라미터와 조합이 나와 있습니다.

타겟 매개변수	계층적 방화벽 정책 지원	전역 및 리전 네트워크 방화벽 정책 지원
타겟 VPC 네트워크 리소스 target-resources 매개변수를 사용하여 지정된 하나 이상의 VPC 네트워크 목록입니다. 이 목록은 방화벽 규칙의 가장 광범위한 대상을 지정된 VPC 네트워크 중 하나 이상에 있는 VM 네트워크 인터페이스로 좁힙니다.
대상 서비스 계정 target-service-accounts 매개변수를 사용하여 지정된 하나 이상의 서비스 계정 목록입니다. 이 목록은 방화벽 규칙의 가장 광범위한 타겟을 지정된 서비스 계정 중 하나 이상과 연결된 VM 인스턴스에 속하는 VM 네트워크 인터페이스로 좁힙니다.
타겟 서비스 계정과 타겟 VPC 네트워크 리소스의 조합 동일한 규칙에서 target-service-accounts 및 target-resources 매개변수를 모두 사용하는 조합 이 조합은 방화벽 규칙의 가장 광범위한 타겟을 다음 기준을 모두 충족하는 VM 네트워크 인터페이스로 좁힙니다. 지정된 VPC 네트워크 중 하나 이상에 있는 인터페이스 지정된 서비스 계정 중 하나 이상과 연결된 VM 인스턴스에 속하는 인터페이스
네트워크 목적으로 데이터가 포함된 태그 키에서 보안 태그 값 타겟팅 태그 키의 하나 이상의 태그 값 목록입니다. 태그 키의 목적 데이터는 단일 VPC 네트워크를 지정합니다. 이 목록은 방화벽 규칙의 가장 광범위한 대상을 목적 데이터에 지정된 VPC 네트워크에 있는 VM 네트워크 인터페이스로 좁힙니다. 자세한 내용은 방화벽 보안 태그를 참고하세요.
조직 목적 데이터가 있는 태그 키에서 보안 태그 값 타겟팅 목적 데이터가 organization=auto인 태그 키의 하나 이상의 태그 값 목록입니다. 이렇게 하면 방화벽 규칙의 가장 광범위한 대상이 조직의 VPC 네트워크에 있는 VM 네트워크 인터페이스로 좁혀집니다. 자세한 내용은 방화벽 보안 태그를 참고하세요.

인그레스 규칙 타겟 및 IP 주소

타겟 VM의 네트워크 인터페이스로 라우팅된 패킷은 다음 조건을 기준으로 처리됩니다.

• 인그레스 방화벽 규칙에 대상 IP 주소 범위가 포함되는 경우 패킷의 대상이 명시적으로 정의된 대상 IP 주소 범위 중 하나에 속해야 합니다.

• 인그레스 방화벽 규칙에 대상 IP 주소 범위가 포함되지 않는 경우, 패킷의 대상이 다음 IP 주소 중 하나와 일치해야 합니다.

  • 인스턴스 NIC에 할당된 기본 내부 IPv4 주소

  • 인스턴스 NIC에 구성된 모든 별칭 IP 주소 범위

  • 인스턴스 NIC와 연결된 외부 IPv4 주소

  • 서브넷에 IPv6를 구성한 경우 NIC에 할당된 모든 IPv6 주소

  • 인스턴스가 내부 패스 스루 네트워크 부하 분산기 또는 외부 패스 스루 네트워크 부하 분산기의 백엔드인 패스 스루 부하 분산에 사용되는 전달 규칙과 연결된 내부 또는 외부 IP 주소

  • 인스턴스가 타겟 인스턴스에서 참조되는 경우 프로토콜 전달에 사용되는 전달 규칙과 연결된 내부 또는 외부 IP 주소

  • 인스턴스(next-hop-instance 또는 next-hop-address)를 다음 홉 VM으로 사용하는 커스텀 정적 경로의 대상 범위에 속한 IP 주소

  • VM이 부하 분산기의 백엔드인 경우 내부 패스 스루 네트워크 부하 분산기(next-hop-ilb)를 다음 홉으로 사용하는 커스텀 정적 경로의 대상 범위에 속한 IP 주소

이그레스 규칙의 타겟 및 IP 주소

타겟의 네트워크 인터페이스에서 내보낸 패킷의 처리는 타겟 VM의 IP 전달 구성에 따라 달라집니다. IP 전달은 기본적으로 사용 중지되어 있습니다.

• 타겟 VM이 IP 전달을 사용 중지하면 VM은 다음 소스를 사용하여 패킷을 내보낼 수 있습니다.

  • 인스턴스 NIC의 기본 내부 IPv4 주소

  • 인스턴스 NIC의 모든 구성된 별칭 IP 주소 범위

  • 서브넷에 IPv6를 구성한 경우 NIC에 할당된 모든 IPv6 주소

  • 패스 스루 부하 분산 또는 프로토콜 전달을 위해 전달 규칙과 연결된 내부 또는 외부 IP 주소로, 인스턴스가 내부 패스 스루 네트워크 부하 분산기, 외부 패스 스루 네트워크 부하 분산기의 백엔드이거나 타겟 인스턴스에서 참조되는 경우에 유효합니다.

  이그레스 방화벽 규칙에 소스 IP 주소 범위가 포함되는 경우 타겟 VM은 여전히 이전에 언급된 소스 IP 주소로 제한되지만 소스 파라미터를 사용하여 해당 집합을 세분화할 수 있습니다. IP 전달을 사용 설정하지 않고 소스 파라미터를 사용하면 가능한 패킷 소스 주소 집합이 확장되지 않습니다.

  이그레스 방화벽 규칙에 소스 IP 주소 범위가 포함되지 않으면 이전에 언급된 모든 소스 IP 주소가 허용됩니다.

• 타겟 VM에 IP 전달이 사용 설정된 경우 VM이 임의의 소스 주소로 패킷을 내보낼 수 있습니다. 소스 파라미터를 사용하면 허용되는 패킷 소스 집합을 보다 정확하게 정의할 수 있습니다.

소스

소스 파라미터 값은 다음 항목에 따라 달라집니다.

• 방화벽 규칙이 포함된 방화벽 정책 유형
• 방화벽 규칙의 방향

인그레스 규칙의 소스

다음 표는 단일 인그레스 방화벽 정책 규칙에서 개별적으로 사용하거나 서로 조합하여 사용할 수 있는 소스 파라미터를 보여줍니다. Cloud NGFW에서는 최소한 하나 이상의 소스 파라미터를 지정해야 합니다.

인그레스 규칙 소스 파라미터	계층적 방화벽 정책 지원	전역 및 리전 네트워크 방화벽 정책 지원
소스 IP 주소 범위 CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 단순 목록입니다. 목록은 방화벽 정책 규칙 자체 내에 저장됩니다.
소스 주소 그룹 CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 재사용 가능한 컬렉션입니다. 방화벽 규칙에 이 컬렉션이 참조됩니다. 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.
소스 도메인 이름 하나 이상의 소스 도메인 이름 목록입니다. 도메인 이름이 IP 주소로 변환되는 방법을 포함하여 자세한 내용은 FQDN 객체를 참조하세요.
네트워크 목적 데이터가 있는 태그 키에서 보안 태그 값 가져오기 태그 키의 하나 이상의 태그 값 목록입니다. 태그 키의 목적 데이터는 단일 VPC 네트워크를 지정합니다. 자세한 내용은 방화벽 보안 태그 및 소스 보안 태그가 패킷 소스를 암시하는 방법을 참고하세요.
조직 목적 데이터가 있는 태그 키에서 보안 태그 값 가져오기 목적 데이터가 organization=auto인 태그 키의 하나 이상의 태그 값 목록입니다. 자세한 내용은 방화벽 보안 태그 및 소스 보안 태그가 패킷 소스를 암시하는 방법을 참고하세요.
소스 위치정보 2자리 국가 또는 리전 코드로 지정된 하나 이상의 소스 위치정보 목록입니다. 자세한 내용은 위치정보 객체를 참조하세요.
소스 Google Threat Intelligence 목록 하나 이상의 사전 정의된 Google Threat Intelligence 목록 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.
소스 네트워크 유형 보안 경계를 정의하는 제약조건입니다. 자세한 내용은 네트워크 유형을 참고하세요.

단일 인그레스 규칙에서 둘 이상의 소스 파라미터를 사용하여 소스 조합을 생성할 수 있습니다. Cloud NGFW는 각 인그레스 규칙의 소스 조합에 다음 제약조건을 적용합니다.

• 소스 IP 주소 범위에는 IPv4 또는 IPv6 CIDR만 포함되어야 하며, 두 주소를 조합할 수 없습니다.
• IPv4 CIDR을 포함하는 소스 주소 그룹은 IPv6 CIDR이 포함된 소스 주소 그룹과 함께 사용할 수 없습니다.
• IPv4 CIDR을 포함하는 소스 IP 주소 범위는 IPv6 CIDR이 포함된 소스 주소 그룹과 함께 사용할 수 없습니다.
• IPv6 CIDR을 포함하는 소스 IP 주소 범위는 IPv4 CIDR이 포함된 소스 주소 그룹과 함께 사용할 수 없습니다.
• 인터넷 네트워크 유형은 소스 보안 태그와 함께 사용할 수 없습니다.
• 비인터넷 유형, VPC 네트워크 유형, VPC 내 유형은 소스 Google Threat Intelligence 목록 또는 소스 위치정보와 함께 사용할 수 없습니다.

Cloud NGFW는 패킷이 소스 조합을 사용하는 인그레스 규칙과 일치시키기 위해 다음 로직을 적용합니다.

• 소스 조합에 소스 네트워크 유형이 포함되지 않은 경우에는 패킷이 소스 조합에서 하나 이상의 소스 파라미터와 일치할 때 패킷이 인그레스 규칙과 일치합니다.

• 소스 조합에 소스 네트워크 유형이 포함된 경우에는 패킷이 소스 네트워크 유형과 일치하고 그리고 소스 조합에서 하나 이상의 기타 소스 파라미터와 일치할 때 패킷이 인그레스 규칙과 일치합니다.

소스 보안 태그가 패킷 소스를 의미하는 방법

방화벽 정책의 인그레스 규칙은 소스 보안 태그 (태그 값)를 사용하여 소스를 지정할 수 있습니다. 보안 태그 값은 IP 주소와 같은 패킷 특성이 아닌 네트워크 인터페이스를 식별합니다.

VM 인스턴스의 네트워크 인터페이스에서 전송된 패킷은 다음 규칙에 따라 소스 보안 태그 값을 사용하는 인그레스 규칙과 일치합니다.

• 인그레스 규칙이 리전 네트워크 정책에 포함된 경우 VM 인스턴스는 리전 네트워크 방화벽 정책과 동일한 리전에 있는 영역에 있어야 합니다. 그렇지 않으면 VM 인스턴스는 모든 영역에 있을 수 있습니다.

• VM 인스턴스는 인그레스 방화벽 규칙에서 소스 보안 태그로 사용되는 것과 동일한 보안 태그 값과 연결되어야 합니다.

• VM 인스턴스와 연결되고 인그레스 방화벽 규칙에서 사용되는 보안 태그 값은 purpose-data 속성이 VM 인스턴스의 네트워크 인터페이스가 포함된 VPC 네트워크를 하나 이상 식별하는 태그 키에서 가져와야 합니다.

  • 태그 키의 목적 데이터가 단일 VPC 네트워크를 지정하는 경우 소스 보안 태그 값을 사용하는 인그레스 방화벽 규칙은 해당 VPC 네트워크에 있는 VM 인스턴스의 네트워크 인터페이스에 적용됩니다.

  • 태그 키의 목적 데이터가 조직을 지정하는 경우 소스 보안 태그 값을 사용하는 인그레스 방화벽 규칙은 조직의 모든 VPC 네트워크에 있는 VM 인스턴스의 네트워크 인터페이스에 적용됩니다.

• 확인된 VM 네트워크 인터페이스는 다음 기준 중 하나를 충족해야 합니다.

  • VM 네트워크 인터페이스는 방화벽 정책이 적용되는 VPC 네트워크와 동일한 VPC 네트워크에 있습니다.
  • VM 네트워크 인터페이스는 VPC 네트워크 피어링을 사용하여 방화벽 정책이 적용되는 VPC 네트워크에 연결된 VPC 네트워크에 있습니다.

방화벽의 보안 태그에 대한 자세한 내용은 사양을 참고하세요.

이그레스 규칙의 소스

계층적 방화벽 정책과 네트워크 방화벽 정책 모두에서 이그레스 규칙에 다음 소스를 사용할 수 있습니다.

• 기본값 — 타겟에 의해 암시됨: 이그레스 규칙에서 소스 파라미터를 생략하면 패킷 소스가 이그레스 규칙의 타겟 및 IP 주소에 설명된 대로 암시적으로 정의됩니다

• 소스 IPv4 주소 범위: CIDR 형식의 IPv4 주소 목록입니다.

• 소스 IPv6 주소 범위: CIDR 형식의 IPv6 주소 목록입니다.

다음 안내에 따라 이그레스 규칙의 소스 IP 주소 범위를 추가합니다.

• VM 인터페이스에 내부 및 외부 IPv4 주소가 모두 할당되어 있으면 규칙 평가 중에 내부 IPv4 주소만 사용됩니다.

• 이그레스 규칙에 소스 IP 주소 범위와 대상 파라미터가 있으면 대상 파라미터가 소스 IP 버전과 동일한 IP 버전으로 변환됩니다.

  예를 들어 이그레스 규칙의 경우 소스 파라미터에 IPv4 주소 범위가 있고 대상 파라미터에 FQDN 객체가 있습니다. FQDN이 IPv4 주소와 IPv6 주소 모두 변환한 경우 규칙 적용 중에 확인된 IPv4 주소만 사용됩니다.

목적지

대상은 계층적 및 네트워크 방화벽 정책 모두에서 인그레스 규칙과 이그레스 규칙 모두에서 지원되는 IP 주소 범위를 사용하여 지정할 수 있습니다. 기본 대상 동작은 규칙의 방향에 따라 달라집니다.

인그레스 규칙의 대상

계층적 방화벽 정책과 네트워크 방화벽 정책에서 인그레스 방화벽 규칙에 다음과 같은 대상을 사용할 수 있습니다.

• 기본값 — 타겟에 의해 암시됨: 인그레스 규칙에서 대상 파라미터를 생략하면 패킷 대상이 인그레스 규칙의 타겟 및 IP 주소에 설명된 대로 암시적으로 정의됩니다.

• 대상 IPv4 주소 범위: CIDR 형식의 IPv4 주소 목록입니다.

• 대상 IPv6 주소 범위: CIDR 형식의 IPv6 주소 목록입니다.

다음 안내에 따라 인그레스 규칙의 대상 IP 주소 범위를 추가합니다.

• VM 인터페이스에 내부 및 외부 IPv4 주소가 모두 할당되어 있으면 규칙 평가 중에 내부 IPv4 주소만 사용됩니다.

• 인그레스 규칙에 소스 파라미터와 대상 파라미터가 모두 정의된 경우 소스 파라미터는 대상 IP 버전과 동일한 IP 버전으로 변환됩니다. 인그레스 규칙의 소스를 정의하는 방법에 대한 자세한 내용은 계층적 방화벽 정책의 인그레스 규칙 소스 및 네트워크 방화벽 정책의 인그레스 규칙 소스를 참조하세요.

  예를 들어 인그레스 규칙에는 대상 파라미터에 IPv6 주소 범위가, 소스 파라미터에 위치정보 국가 코드가 있습니다. 규칙 적용 중에는 지정된 소스 국가 코드에 매핑된 IPv6 주소만 사용됩니다.

이그레스 규칙의 대상

다음 표는 단일 이그레스 방화벽 정책 규칙에서 개별적으로 사용하거나 서로 조합하여 사용할 수 있는 대상 파라미터를 보여줍니다. Cloud NGFW에서는 최소한 하나 이상의 대상 파라미터를 지정해야 합니다.

이그레스 규칙 대상 파라미터	계층적 방화벽 정책 지원	전역 및 리전 네트워크 방화벽 정책 지원
대상 IP 주소 범위 CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 단순 목록입니다. 목록은 방화벽 정책 규칙 자체 내에 저장됩니다.
대상 주소 그룹 CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 재사용 가능한 컬렉션입니다. 이 컬렉션은 방화벽 정책 규칙에서 참조됩니다. 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.
대상 도메인 이름 하나 이상의 소스 도메인 이름 목록입니다. 도메인 이름이 IP 주소로 변환되는 방법을 포함하여 자세한 내용은 FQDN 객체를 참조하세요.
대상 위치정보 2자리 국가 또는 리전 코드로 지정된 하나 이상의 소스 위치정보 목록입니다. 자세한 내용은 위치정보 객체를 참조하세요.
대상 Google Threat Intelligence 목록 하나 이상의 사전 정의된 Google Threat Intelligence 목록 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.
목적지 네트워크 유형 보안 경계를 정의하는 제약조건입니다. 자세한 내용은 네트워크 유형을 참고하세요.

단일 이그레스 규칙에서 둘 이상의 대상 파라미터를 사용하여 대상 조합을 생성할 수 있습니다. Cloud NGFW는 각 이그레스 규칙의 대상 조합에 다음 제약조건을 적용합니다.

• 대상 IP 주소 범위에는 IPv4 또는 IPv6 CIDR만 포함되어야 하며, 두 주소를 조합할 수 없습니다.
• IPv4 CIDR을 포함하는 대상 주소 그룹은 IPv6 CIDR이 포함된 대상 주소 그룹과 함께 사용할 수 없습니다.
• IPv4 CIDR을 포함하는 대상 IP 주소 범위는 IPv6 CIDR이 포함된 대상 주소 그룹과 함께 사용할 수 없습니다.
• IPv6 CIDR을 포함하는 대상 IP 주소 범위는 IPv4 CIDR이 포함된 대상 주소 그룹과 함께 사용할 수 없습니다.
• 대상 Google Threat Intelligence 목록 또는 대상 위치정보는 대상의 비인터넷 네트워크 유형에 사용할 수 없습니다.

Cloud NGFW는 패킷을 대상 조합을 사용하는 이그레스 규칙과 일치시키기 위해 다음 로직을 적용합니다.

• 대상 조합에 대상 네트워크 유형이 포함되지 않은 경우에는 패킷이 대상 조합에서 하나 이상의 대상 파라미터와 일치할 때 패킷이 이그레스 규칙과 일치합니다.

• 대상 조합에 대상 네트워크 유형이 포함된 경우에는 패킷이 대상 네트워크 유형과 일치하고 그리고 대상 조합에서 하나 이상의 기타 대상 파라미터와 일치할 때 패킷이 이그레스 규칙과 일치합니다.

네트워크 유형

네트워크 유형은 더 적은 수의 방화벽 정책 규칙을 더 효율적으로 사용하여 보안 목적을 달성하는 데 도움이 됩니다. Cloud NGFW는 계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책의 규칙에 소스 조합 또는 대상 조합을 만드는 데 사용할 수 있는 4가지 네트워크 유형을 지원합니다.

다음 표에서는 4가지 네트워크 유형과 인그레스 규칙의 소스 조합, 이그레스 규칙의 대상 조합 또는 둘 다에서 특정 네트워크 유형을 사용할 수 있는지 여부를 보여줍니다.

네트워크 유형	인그레스 규칙의 소스	이그레스 규칙의 대상
인터넷(INTERNET)
비인터넷(NON_INTERNET)
VPC 네트워크(VPC_NETWORKS개)
VPC 내(INTRA_VPC)

인터넷 및 비인터넷 네트워크 유형은 상호 배타적입니다. VPC 네트워크 및 VPC 내 네트워크 유형은 비인터넷 네트워크 유형의 하위 집합입니다.

인터넷 네트워크 유형

인터넷 네트워크 유형 (INTERNET)은 인그레스 규칙의 소스 조합 중 일부 또는 이그레스 규칙의 대상 조합 중 일부로 사용할 수 있습니다.

• 인그레스 규칙의 경우 보안 태그 소스를 제외하고 인터넷 유형 소스와 하나 이상의 기타 소스 파라미터를 지정합니다. 패킷이 하나 이상의 기타 소스 파라미터와 일치하고 그리고 인터넷 유형 소스 파라미터와 일치하는 경우 패킷이 인그레스 규칙과 일치합니다.

• 이그레스 규칙의 경우 인터넷 유형 대상과 하나 이상의 기타 대상 파라미터를 지정합니다. 패킷이 하나 이상의 기타 대상 파라미터와 일치하고 그리고 인터넷 유형 대상 파라미터와 일치할 경우 패킷이 이그레스 규칙과 일치합니다.

이 섹션의 나머지 부분에서는 패킷이 인터넷 네트워크 유형에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 조건에 대해 설명합니다.

인그레스 패킷의 인터넷 네트워크 유형

Google Maglev에 의해 VM 네트워크 인터페이스로 라우팅된 인그레스 패킷은 인터넷 네트워크 유형에 속하는 것으로 간주됩니다. 패킷은 패킷 대상이 다음 중 하나와 일치하는 경우 Maglev에 의해 VM 네트워크 인터페이스로 라우팅됩니다.

• VM 네트워크 인터페이스의 리전 외부 IPv4 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙 또는 외부 프로토콜 전달을 위한 전달 규칙
• VM 네트워크 인터페이스의 리전 외부 IPv6 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙. 그리고 패킷은 VPC 네트워크 피어링으로 가져온 서브넷 경로를 사용하거나 Network Connectivity Center 허브의 VPC 스포크로부터 라우팅되지 않습니다.

외부 패스 스루 네트워크 부하 분산기 또는 외부 프로토콜 전달을 위해 Maglev에서 백엔드 VM으로 라우팅되는 패킷에 대한 자세한 내용은 외부 패스 스루 네트워크 부하 분산기 및 외부 프로토콜 전달을 위한 경로를 참조하세요.

이그레스 패킷의 인터넷 네트워크 유형

VM 네트워크 인터페이스에서 전송되고 기본 인터넷 게이트웨이 다음 홉을 사용하는 정적 경로를 사용하여 라우팅되는 이그레스 패킷은 인터넷 네트워크 유형에 속하는 것으로 간주됩니다. 하지만 이러한 이그레스 패킷의 대상 IP 주소가 Google API 및 서비스용이면 패킷이 비인터넷 네트워크 유형에 속하는 것으로 간주됩니다. Google API 및 서비스 연결에 대한 자세한 내용은 비인터넷 네트워크 유형을 참고하세요.

기본 인터넷 게이트웨이 다음 홉을 사용하는 정적 경로를 사용하여 패킷이 라우팅될 경우에는 VM 네트워크 인터페이스에 의해 다음 대상으로 전송되는 모든 패킷이 인터넷 유형에 속하는 것으로 간주됩니다.

• Google 네트워크 외부에 있는 외부 IP 주소 대상
• VM 네트워크 인터페이스의 리전 외부 IPv4 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• 전역 외부 부하 분산기의 전달 규칙에 대한 전역 외부 IPv4 및 IPv6 주소 대상

VM 네트워크 인터페이스에서 Cloud VPN 및 Cloud NAT 게이트웨이로 전송된 패킷은 인터넷 유형에 속하는 것으로 간주됩니다.

• VPN 소프트웨어를 실행하는 VM의 네트워크 인터페이스에서 Cloud VPN 게이트웨이의 리전 외부 IPv4 주소로 전송된 이그레스 패킷은 인터넷 유형에 속하는 것으로 간주됩니다.
• 하나의 Cloud VPN 게이트웨이에서 다른 Cloud VPN 게이트웨이로 전송된 이그레스 패킷은 방화벽 규칙이 VM에만 적용되기 때문에 네트워크 유형에 속하는 것으로 간주되지 않습니다.
• Public NAT의 경우 VM 네트워크 인터페이스에서 Cloud NAT 게이트웨이의 리전 외부 IPv4 주소로 전송된 응답 패킷은 인터넷 유형에 속하는 것으로 간주됩니다.

VPC 네트워크가 VPC 네트워크 피어링을 사용하여 연결되었거나 VPC 네트워크가 동일한 Network Connectivity Center 허브에서 VPC 스포크로 참여하는 경우에는 IPv6 서브넷 경로가 VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상에 대한 연결, 리전 외부 부하 분산기 전달 규칙, 외부 프로토콜 전달 규칙을 제공합니다. 이러한 리전 외부 IPv6 주소 대상에 대한 연결이 서브넷 경로를 사용하여 제공된 경우 대상은 대신 비인터넷 네트워크 유형에 있습니다.

인터넷이 아닌 네트워크 유형

비인터넷 네트워크 유형 (NON-INTERNET)은 인그레스 규칙의 소스 조합 중 일부 또는 이그레스 규칙의 대상 조합 중 일부로 사용할 수 있습니다.

• 인그레스 규칙의 경우 위협 인텔리전스 목록 소스 또는 위치정보 소스를 제외하고 비인터넷 유형 소스와 하나 이상의 기타 소스 파라미터를 지정합니다. 패킷이 하나 이상의 기타 소스 파라미터와 일치하고 그리고 비인터넷 유형 소스 파라미터와 일치하는 경우 패킷이 인그레스 규칙과 일치합니다.

• 이그레스 규칙의 경우 비인터넷 유형 대상과 하나 이상의 기타 대상 파라미터를 지정합니다. 패킷이 하나 이상의 기타 대상 파라미터와 일치하고 그리고 비인터넷 유형 대상 파라미터와 일치할 경우 패킷이 이그레스 규칙과 일치합니다.

이 섹션의 나머지 부분에서는 패킷이 비인터넷 네트워크 유형에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 조건에 대해 설명합니다.

인그레스 패킷의 비인터넷 네트워크 유형

VPC 네트워크 내에 있는 다음 홉을 사용하거나 Google API 및 서비스로부터 VM 네트워크 인터페이스로 라우팅된 인그레스 패킷은 비인터넷 네트워크 유형에 속하는 것으로 간주됩니다.

다음 시나리오에서 패킷은 VPC 네트워크 내의 다음 홉을 사용하거나 Google API 및 서비스로부터 라우팅됩니다.

• 패킷 대상이 다음 중 하나와 일치합니다.

  • VM 네트워크 인터페이스의 리전 내부 IPv4 또는 IPv6 주소, 내부 패스 스루 네트워크 부하 분산기의 전달 규칙, 내부 프로토콜 전달을 위한 전달 규칙
  • VM 네트워크 인터페이스의 리전 외부 IPv6 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙. 그리고 패킷은 로컬 서브넷 경로, 피어링 서브넷 경로, Network Connectivity Center 서브넷 경로를 사용하여 라우팅됩니다.
  • 수신 VM이 다음 홉 VM이거나 다음 홉 내부 패스 스루 네트워크 부하 분산기의 백엔드 VM인 정적 경로의 대상 범위 내에 있는 모든 주소

• 패킷 소스가 다음 중 하나와 일치합니다.

  • 전역 Google API 및 서비스에 사용된 기본 도메인의 IP 주소
  • private.googleapis.com 또는 restricted.googleapis.com의 IP 주소
  • 전역 외부 애플리케이션 부하 분산기, 기존 애플리케이션 부하 분산기, 전역 외부 프록시 네트워크 부하 분산기, 기존 프록시 네트워크 부하 분산기에 사용된 Google 프런트엔드의 IP 주소. 자세한 내용은 Google 프런트엔드와 백엔드 사이의 경로를 참조하세요.
  • 상태 점검 프로버의 IP 주소. 자세한 내용은 상태 점검 경로를 참조하세요.
  • TCP 전달을 위해 IAP(Identity-Aware Proxy)에 사용되는 IP 주소. 자세한 내용은 IAP(Identity-Aware Proxy) 경로를 참조하세요.
  • Cloud DNS 또는 서비스 디렉터리에 사용되는 IP 주소. 자세한 내용은 Cloud DNS 및 서비스 디렉터리의 경로를 참조하세요.
  • 서버리스 VPC 액세스에 사용되는 IP 주소. 자세한 내용은 서버리스 VPC 액세스 경로를 참조하세요.
  • 전역 Google API를 위한 Private Service Connect 엔드포인트의 IP 주소. 자세한 내용은 전역 Google API를 위한 Private Service Connect 엔드포인트 경로를 참조하세요.

이그레스 패킷의 비인터넷 네트워크 유형

VM 네트워크 인터페이스에서 전송되고 VPC 네트워크 내에서 라우팅되었거나 Google API 및 서비스로 전송된 이그레스 패킷은 비인터넷 네트워크 유형에 속하는 것으로 간주됩니다.

다음 시나리오에서 패킷은 VPC 네트워크 내의 다음 홉을 사용하거나 Google API 및 서비스로 라우팅됩니다.

• 패킷은 서브넷 경로를 사용하여 라우팅되며, 여기에는 다음 대상이 포함됩니다.
  • VM 네트워크 인터페이스의 리전 내부 IPv4 또는 IPv6 주소 대상, 내부 부하 분산기의 전달 규칙 또는 내부 프로토콜 전달을 위한 전달 규칙
  • VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• 패킷은 동적 경로를 사용하여 라우팅됩니다.
• 패킷은 기본 인터넷 게이트웨이가 아닌 다음 홉을 사용하는 정적 경로를 사용하여 라우팅됩니다.
• 패킷은 기본 인터넷 게이트웨이 다음 홉과 함께 정적 경로를 사용하여 액세스되는 전역 Google API 및 서비스로 라우팅됩니다. Global Google API 및 서비스 대상에는 기본 도메인의 IP 주소와 private.googleapis.com 및 restricted.googleapis.com의 IP 주소가 포함됩니다.
• 다음 경로 중 하나를 사용하여 액세스되는 Google 서비스 대상:
  • Google 프런트엔드 및 백엔드 사이의 경로
  • 상태 점검 경로
  • IAP(Identity-Aware Proxy) 경로
  • Cloud DNS 및 서비스 디렉터리 경로
  • 서버리스 VPC 액세스 경로
  • 전역 Google API의 Private Service Connect 엔드포인트 경로

VPC 네트워크 유형

VPC 네트워크 유형 (VPC_NETWORKS)은 인그레스 규칙의 소스 조합의 일부로만 사용할 수 있습니다. VPC 네트워크 유형을 이그레스 규칙의 대상 조합의 일부로 사용할 수 없습니다.

VPC 네트워크 유형을 인그레스 규칙의 소스 조합의 일부로 사용하려면 다음을 수행합니다.

1. 소스 VPC 네트워크의 목록을 지정해야 합니다.

   • 소스 네트워크 목록에는 하나 이상의 VPC 네트워크가 포함되어야 합니다. 소스 네트워크 목록에는 최대 250개의 VPC 네트워크를 추가할 수 있습니다.
   • VPC 네트워크를 소스 네트워크 목록에 추가할 수 있으려면 VPC 네트워크가 이미 있어야 합니다.
   • 부분 또는 전체 URL 식별자를 사용하여 네트워크를 추가할 수 있습니다.
   • 소스 네트워크 목록에 추가하는 VPC 네트워크는 서로 연결되어 있을 필요가 없습니다. 각 VPC 네트워크는 모든 프로젝트에 배치할 수 있습니다.
   • 소스 네트워크 목록에 추가한 후 VPC 네트워크를 삭제하면 삭제된 네트워크에 대한 참조가 목록에 유지됩니다. Cloud NGFW는 인그레스 규칙을 적용할 때 삭제된 VPC 네트워크를 무시합니다. 소스 네트워크 목록의 모든 VPC 네트워크가 삭제된 경우에 이 목록을 사용하는 인그레스 규칙은 패킷과 일치하지 않기 때문에 효과가 없습니다.

2. 위협 인텔리전스 목록 소스 또는 위치정보 소스를 제외하고 하나 이상의 기타 소스 파라미터를 지정해야 합니다.

다음 모든 조건을 만족하는 경우 패킷은 소스 조합에서 VPC 네트워크 유형을 사용하는 인그레스 규칙과 일치합니다.

• 패킷이 하나 이상의 기타 소스 파라미터와 일치합니다.

• 패킷이 소스 VPC 네트워크 중 하나에 있는 리소스에서 전송됩니다.

• 소스 VPC 네트워크 그리고 인그레스 규칙을 포함하는 방화벽 정책이 적용되는 VPC 네트워크는 동일한 VPC 네트워크이거나 VPC 네트워크 피어링을 사용하여 또는 Network Connectivity Center 허브에서 VPC 스포크로 연결되어 있습니다.

다음 리소스는 VPC 네트워크에 있습니다.

• VM 네트워크 인터페이스
• Cloud VPN 터널
• Cloud Interconnect VLAN 연결
• 라우터 어플라이언스
• 프록시 전용 서브넷의 Envoy 프록시
• Private Service Connect 엔드포인트
• 서버리스 VPC 액세스 연결

VPC 내 네트워크 유형

VPC 내 네트워크 유형 (INTRA_VPC)은 인그레스 규칙의 소스 조합의 일부로만 사용할 수 있습니다. VPC 내 네트워크 유형을 이그레스 규칙의 대상 조합의 일부로 사용할 수 없습니다.

VPC 내 유형을 인그레스 규칙의 소스 조합 일부로 사용하려면 위협 인텔리전스 목록 소스 또는 위치정보 소스를 제외하고 하나 이상의 기타 소스 파라미터를 지정해야 합니다.

다음 모든 조건을 만족하는 경우 패킷은 소스 조합에 VPC 내 유형이 포함된 인그레스 규칙과 일치합니다.

• 패킷이 하나 이상의 기타 소스 파라미터와 일치합니다.

• 패킷이 인그레스 규칙이 포함된 방화벽 정책이 적용되는 VPC 네트워크에 잇는 리소스에서 전송됩니다.

다음 리소스는 VPC 네트워크에 있습니다.

• VM 네트워크 인터페이스
• Cloud VPN 터널
• Cloud Interconnect VLAN 연결
• 라우터 어플라이언스
• 프록시 전용 서브넷의 Envoy 프록시
• Private Service Connect 엔드포인트
• 서버리스 VPC 액세스 연결

위치정보 객체

방화벽 정책 규칙에서 위치정보 객체를 사용하여 특정 위치정보 또는 리전을 기반으로 외부 IPv4 및 외부 IPv6 트래픽을 필터링합니다.

위치정보 객체가 있는 규칙을 인그레스 및 이그레스 트래픽에 적용할 수 있습니다. 트래픽 방향에 따라 국가 코드와 연결된 IP 주소가 트래픽의 소스 또는 대상과 일치합니다.

• 계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 대한 위치정보 객체를 구성할 수 있습니다.

• 방화벽 정책 규칙에 위치정보를 추가하려면 ISO 3166 알파-2 국가 코드에서 정의된 대로 2자리 국가 또는 리전 코드를 사용합니다.

  예를 들어 미국에서 네트워크로의 수신 트래픽만 허용하려면 소스 국가 코드를 US로 설정하고 작업을 allow로 설정하여 인그레스 방화벽 정책 규칙을 만듭니다. 마찬가지로 미국으로의 아웃바운드 트래픽만 허용하려면 대상 국가 코드를 US로 설정하고 작업을 allow로 설정하여 이그레스 방화벽 정책 규칙을 구성합니다.

• Cloud NGFW를 사용하면 포괄적인 미국 제재가 적용되는 다음 지역에 대해 방화벽 규칙을 구성할 수 있습니다.

  지역	할당된 코드
  크리미아	XC
  도네츠크 인민공화국 및 루간스크 인민공화국	XD

• 단일 방화벽 규칙에 포함된 국가 코드가 중복되면 해당 국가 코드의 항목이 하나만 유지됩니다. 중복 항목은 삭제됩니다. 예를 들어 국가 코드 목록 ca,us,us에서는 ca,us만 유지됩니다.

• Google은 IP 주소 및 국가 코드 매핑을 사용해서 데이터베이스를 유지보수합니다.Google Cloud 방화벽은 이 데이터베이스를 사용하여 소스 및 대상 트래픽의 IP 주소를 국가 코드에 매핑한 후 위치정보 객체와 함께 일치하는 방화벽 정책 규칙을 적용합니다.

• IP 주소 할당 및 국가 코드가 다음 조건으로 인해 변경되는 경우가 있습니다.

  • 지리적 위치 간 IP 주소 이동
  • ISO 3166 알파-2 국가 코드 표준으로 업데이트

  이러한 변경사항이 Google의 데이터베이스에 반영되는 데 다소 시간이 걸리므로 일부 트래픽의 중단 및 차단되거나 허용되는 특정 트래픽에 대한 동작의 변화를 확인할 수 있습니다.

다른 방화벽 정책 규칙 필터와 함께 위치정보 객체 사용

위치정보 객체는 다른 소스 또는 대상 필터와 함께 사용할 수 있습니다. 규칙 방향에 따라 방화벽 정책 규칙이 지정된 모든 필터의 합집합과 일치하는 수신 또는 발신 트래픽에 적용됩니다.

위치정보 객체가 인그레스 규칙의 다른 소스 필터와 작동하는 방식에 대한 자세한 내용은 계층적 방화벽 정책의 인그레스 규칙 소스 및 네트워크 방화벽 정책의 인그레스 규칙 소스를 참조하세요.

위치정보 객체가 이그레스 규칙의 다른 대상 필터와 작동하는 방식에 대한 자세한 내용은 이그레스 규칙의 대상을 참조하세요.

방화벽 정책 규칙의 Google Threat Intelligence

방화벽 정책 규칙을 사용하면 Google Threat Intelligence 데이터를 기반으로 트래픽을 허용하거나 차단하여 네트워크를 보호할 수 있습니다. Google Threat Intelligence 데이터에는 다음 카테고리를 기준으로 IP 주소 목록이 포함됩니다.

• Tor 종료 노드: Tor는 익명 통신을 사용 설정하는 오픈소스 소프트웨어입니다. ID를 숨기는 사용자를 제외하려면 Tor 종료 노드의 IP 주소(트래픽이 Tor 네트워크를 나가는 엔드포인트)를 차단합니다.
• 알려진 악성 IP 주소: 웹 애플리케이션 공격이 발생한 것으로 알려진 IP 주소입니다. 애플리케이션의 보안 상태를 개선하려면 이러한 IP 주소를 차단하세요.
• 검색엔진: 사이트 색인 생성을 사용 설정할 수 있는 IP 주소입니다.
• 퍼블릭 클라우드 IP 주소 범위: 이 카테고리는 악의적인 자동화 도구가 웹 애플리케이션을 탐색하지 못하도록 차단되거나 서비스가 다른 퍼블릭 클라우드를 사용하는 경우 허용될 수 있습니다. 이 카테고리는 다음과 같은 하위 카테고리로 세분화됩니다.
  • Amazon Web Services에서 사용하는 IP 주소 범위
  • Microsoft Azure에서 사용하는 IP 주소 범위
  • Google Cloud에서 사용하는 IP 주소 범위
  • Google 서비스에서 사용하는 IP 주소 범위

Google Threat Intelligence 데이터 목록에는 IPv4 주소, IPv6 주소 또는 둘 다 포함될 수 있습니다. 방화벽 정책 규칙에서 Google Threat Intelligence를 구성하려면 허용하거나 차단하려는 카테고리를 기준으로 사전 정의된 Google Threat Intelligence 목록 이름을 사용합니다. 이 목록은 지속적으로 업데이트되므로 추가 구성 단계 없이 새로운 위협으로부터 서비스를 보호합니다. 유효한 목록 이름은 다음과 같습니다.

목록 이름	설명
iplist-tor-exit-nodes	TOR 종료 노드의 IP 주소와 일치
iplist-known-malicious-ips	웹 애플리케이션 공격에 알려진 IP 주소와 일치
iplist-search-engines-crawlers	검색엔진 크롤러의 IP 주소와 일치
iplist-vpn-providers	신뢰도가 낮은 VPN 제공업체에 속하는 IP 주소와 일치
iplist-anon-proxies	개방된 익명 프록시에 속하는 IP 주소와 일치
iplist-crypto-miners	암호화폐 채굴 사이트에 속하는 IP 주소와 일치
iplist-public-clouds iplist-public-clouds-aws iplist-public-clouds-azure iplist-public-clouds-gcp iplist-public-clouds-google-services	퍼블릭 클라우드에 속한 IP 주소와 일치 Amazon Web Services에서 사용하는 IP 주소 범위와 일치 Microsoft Azure에서 사용하는 IP 주소 범위와 일치 Google Cloud에서 사용하는 IP 주소 범위와 일치 Google 서비스에서 사용하는 IP 주소 범위와 일치

다른 방화벽 정책 규칙 필터와 함께 Google Threat Intelligence 사용

Google Threat Intelligence로 방화벽 정책 규칙을 정의하려면 다음 가이드라인을 따르세요.

• 이그레스 규칙의 경우 하나 이상의 대상 Google Threat Intelligence 목록을 사용하여 대상을 지정합니다.

• 인그레스 규칙의 경우 하나 이상의 소스 Google Threat Intelligence 목록을 사용하여 소스를 지정합니다.

• 계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 Google Threat Intelligence 목록을 구성할 수 있습니다.

• 이 목록을 다른 소스 또는 대상 규칙 필터 구성요소와 함께 사용할 수 있습니다.

  Google Threat Intelligence 목록이 인그레스 규칙의 다른 소스 필터와 작동하는 방식에 대한 자세한 내용은 계층적 방화벽 정책의 인그레스 규칙 소스 및네트워크 방화벽 정책의 인그레스 규칙 소스를 참조하세요.

  Google Threat Intelligence 목록이 이그레스 규칙의 다른 대상 필터와 작동하는 방식에 대한 자세한 내용은 이그레스 규칙의 대상을 참조하세요.

• 방화벽 로깅은 규칙 수준에서 수행됩니다. 방화벽 규칙의 효과를 쉽게 디버깅하고 분석하려면 단일 방화벽 규칙에 여러 Google Threat Intelligence 목록을 포함하지 마세요.

• Google Threat Intelligence 목록을 방화벽 정책 규칙에 여러 개 추가할 수 있습니다. 규칙에 포함된 각 목록 이름은 해당 목록에 포함된 IP 주소 또는 IP 주소 범위 수와 관계없이 하나의 속성으로 계산됩니다. 예를 들어 방화벽 정책 규칙에 iplist-tor-exit-nodes, iplist-known-malicious-ips, iplist-search-engines-crawlers 목록 이름을 포함하면 방화벽 정책당 규칙 속성 수가 3개 증가합니다. 규칙 속성 수에 대한 자세한 내용은 할당량 및 한도를 참조하세요.

Google Threat Intelligence 목록에 대한 예외 만들기

Google Threat Intelligence 목록에 적용되는 규칙이 있는 경우 다음 기법을 사용하여 Google Threat Intelligence 목록 내 특정 IP 주소에 적용할 수 있는 예외 규칙을 만들 수 있습니다.

• 선택적 허용 방화벽 규칙: Google Threat Intelligence 목록으로 송수신되는 패킷을 거부하는 인그레스 또는 이그레스 방화벽 규칙이 있다고 가정해 보겠습니다. 해당 Google Threat Intelligence 목록 내에서 선택한 IP 주소로 송수신되는 패킷을 허용하려면 예외 IP 주소를 소스 또는 대상으로 지정하는 별도의 우선순위가 더 높은 인그레스 또는 이그레스 허용 방화벽 규칙을 만듭니다.

• 선택적 거부 방화벽 규칙: Google Threat Intelligence 목록으로 송수신되는 패킷을 허용하는 인그레스 또는 이그레스 방화벽 규칙이 있다고 가정해 보겠습니다. 해당 Google Threat Intelligence 목록 내에서 선택한 IP 주소로 송수신되는 패킷을 거부하려면 예외 IP 주소를 소스 또는 대상으로 지정하는 우선순위가 더 높은 인그레스 또는 이그레스 거부 방화벽 규칙을 만듭니다.

방화벽 정책의 주소 그룹

주소 그룹은 CIDR 형식의 IPv4 주소 범위 또는 IPv6 주소 범위의 논리적 모음입니다. 주소 그룹을 사용하여 여러 방화벽 규칙에서 참조하는 일관된 소스 또는 대상을 정의할 수 있습니다. 주소 그룹을 사용하는 방화벽 규칙을 수정하지 않고 주소 그룹을 업데이트할 수 있습니다. 주소 그룹에 대한 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.

인그레스 및 이그레스 방화벽 규칙에 대해 각각 소스 및 대상 주소 그룹을 정의할 수 있습니다.

소스 주소 그룹이 인그레스 규칙의 다른 소스 필터와 작동하는 방식에 대한 자세한 내용은 계층적 방화벽 정책의 인그레스 규칙 소스 및 네트워크 방화벽 정책의 인그레스 규칙 소스를 참조하세요.

대상 주소 그룹이 이그레스 규칙의 다른 대상 필터와 작동하는 방식에 대한 자세한 내용은 이그레스 규칙의 대상을 참조하세요.

FQDN 객체

정규화된 도메인 이름 (FQDN) 객체에는 도메인 이름 형식에 지정한 도메인 이름이 포함됩니다. 계층적 방화벽 정책, 전역 네트워크 방화벽 정책 또는 리전 네트워크 방화벽 정책에서 FQDN 객체를 인그레스 규칙의 소스 또는 이그레스 규칙의 대상으로 사용할 수 있습니다.

FQDN을 다른 매개변수와 결합할 수 있습니다. 인그레스 규칙의 소스 매개변수 조합에 관한 자세한 내용은 인그레스 규칙의 소스를 참고하세요. 이그레스 규칙의 대상 매개변수 조합에 대한 자세한 내용은 이그레스 규칙의 대상을 참고하세요.

FQDN 객체는 Cloud DNS 응답 정책, VPC 네트워크 범위 관리형 비공개 영역, Compute Engine 내부 DNS 이름, 공개 DNS 영역을 지원합니다. 이 지원은 VPC 네트워크에 대체 네임서버를 지정하는 아웃바운드 서버 정책이 없는 한 적용됩니다. 자세한 내용은 VPC 네트워크 확인 순서를 참고하세요.

FQDN 객체를 IP 주소에 매핑

Cloud NGFW는 주기적으로 FQDN 객체를 IP 주소로 변환합니다. Cloud NGFW는 방화벽 규칙의 타겟이 포함된 VPC 네트워크에서 Cloud DNS VPC 이름 변환 순서를 따릅니다.

Cloud NGFW는 IP 주소 확인에 다음 동작을 사용합니다.

• CNAME 추적 지원 FQDN 객체 쿼리에 대한 대답이 CNAME 레코드인 경우 Cloud NGFW는 Cloud DNS CNAME 추적을 사용합니다.

• 프로그램 IP 주소 Cloud NGFW는 FQDN 객체를 사용하는 방화벽 규칙을 프로그래밍할 때 변환된 IP 주소를 사용합니다. 각 FQDN 객체는 최대 32개의 IPv4 주소와 32개의 IPv6 주소에 매핑될 수 있습니다.

  FQDN 객체 쿼리의 DNS 응답이 32개를 초과하는 IPv4 주소 또는 32개를 초과하는 IPv6 주소로 변환되는 경우 Cloud NGFW는 방화벽 규칙에 프로그래밍된 IP 주소를 처음 32개의 IPv4 주소와 처음 32개의 IPv6 주소로 제한합니다.

• FQDN 객체 무시 Cloud NGFW가 FQDN 객체를 IP 주소로 변환할 수 없는 경우 FQDN 객체를 무시합니다. 다음 상황에서는 Cloud NGFW가 FQDN 객체를 무시합니다.

  • NXDOMAIN개의 답변이 수신된 경우 NXDOMAIN 응답은 FQDN 객체 쿼리에 대한 DNS 레코드가 없음을 나타내는 네임서버의 명시적 응답입니다.

  • 답변에 IP 주소가 없는 경우 이 경우 FQDN 객체 쿼리는 Cloud NGFW가 방화벽 규칙을 프로그래밍하는 데 사용할 수 있는 IP 주소가 포함된 답변을 생성하지 않습니다.

  • Cloud DNS 서버에 연결할 수 없는 경우 답변을 제공하는 DNS 서버에 연결할 수 없는 경우 Cloud NGFW는 FQDN 객체를 무시합니다.

  FQDN 객체가 무시되면 Cloud NGFW는 가능한 경우 방화벽 규칙의 나머지 부분을 프로그래밍합니다.

FQDN 객체에 대한 고려사항

FQDN 객체에 관해 다음 사항을 고려하세요.

1. FQDN 객체는 IP 주소로 매핑되고 프로그래밍되므로 두 개 이상의 FQDN 객체가 동일한 IP 주소로 매핑되는 경우 Cloud NGFW는 다음 동작을 사용합니다. 동일한 타겟에 적용되는 다음 두 방화벽 규칙이 있다고 가정해 보겠습니다.

   • 규칙 1: 우선순위 100, 소스 FQDN example1.com에서 인그레스 허용
   • 규칙 2: 우선순위 200, 소스 FQDN example2.com에서 인그레스 허용

   example1.com와 example2.com가 모두 동일한 IP 주소로 확인되면 이 규칙의 우선순위가 더 높기 때문에 example1.com와 example2.com의 인그레스 패킷이 첫 번째 방화벽 규칙과 일치합니다.

2. FQDN 객체 사용 시 고려사항은 다음과 같습니다.

   • DNS 쿼리에는 요청 클라이언트의 위치에 따라 고유한 답변이 포함될 수 있습니다.

   • DNS 기반 부하 분산 시스템이 포함된 경우 DNS 응답이 매우 가변적일 수 있습니다.

   • DNS 응답에는 32개가 넘는 IPv4 주소가 포함될 수 있습니다.

   • DNS 대답에는 32개가 넘는 IPv6 주소가 포함될 수 있습니다.

   위의 상황에서 Cloud NGFW는 방화벽 규칙이 적용되는 VM 네트워크 인터페이스가 포함된 각 리전에서 DNS 쿼리를 실행하므로 방화벽 규칙에 프로그래밍된 IP 주소에는 FQDN과 연결된 모든 가능한 IP 주소가 포함되지 않습니다.

   googleapis.com와 같은 대부분의 Google 도메인 이름은 이러한 상황 중 하나 이상에 해당합니다. 대신 IP 주소 또는 주소 그룹을 사용하세요.

3. 수명 (TTL)이 90초 미만인 DNS A 레코드를 포함하는 FQDN 객체는 사용하지 않는 것이 좋습니다.

도메인 이름 형식 지정

FQDN 객체는 표준 FQDN 형식을 따라야 합니다.이 형식은 RFC 1035, RFC 1123, RFC 4343에 정의되어 있습니다. Cloud NGFW는 다음 형식 규칙을 모두 충족하지 않는 도메인 이름이 포함된 FQDN 객체를 거부합니다.

• 각 FQDN 객체는 라벨이 2개 이상인 도메인 이름이어야 합니다.

  • 각 라벨은 [a-z]([-a-z0-9][a-z0-9])?. 문자만 포함하는 정규 표현식과 일치해야 합니다.
  • 각 라벨의 길이는 1~63자여야 합니다.
  • 라벨은 점 (.)으로 연결해야 합니다.

  따라서 FQDN 객체는 와일드 카드 문자(*) 또는 최상위(루트) 도메인 이름(예: *.example.com. 및 .org)을 지원하지 않습니다. 이러한 이름에는 단일 라벨만 포함되기 때문입니다.

• FQDN 객체는 국제화된 도메인 이름 (IDN)을 지원합니다. 유니코드 또는 퓨니코드 형식으로 IDN을 제공할 수 있습니다. 다음 사항을 고려하세요.

  • 유니코드 형식으로 IDN을 지정하는 경우 Cloud NGFW는 처리하기 전에 IDN을 퓨니코드 형식으로 변환합니다.

  • IDN 변환기를 사용하여 IDN의 퓨니코드 표현을 만들 수 있습니다.

  • 레이블당 1~63자(영문 기준) 글자 수 제한은 퓨니코드 형식으로 변환한 후 IDN에 적용됩니다.

• 정규화된 도메인 이름 (FQDN)의 인코딩된 길이는 255바이트 (옥텟)를 초과할 수 없습니다.

Cloud NGFW는 동일한 방화벽 규칙에서 동일한 도메인 이름을 지원하지 않습니다. 예를 들어 두 도메인 이름 (또는 IDN의 Punycode 표현)이 최대 터미널 점 (.)만큼 다른 경우 Cloud NGFW는 이를 동일한 것으로 간주합니다.

다음 단계

• 계층적 방화벽 정책
• 전역 네트워크 방화벽 정책
• 리전 네트워크 방화벽 정책