이 페이지에서는 일반 가상 프라이빗 클라우드 (VPC) 네트워크에 적용되는 다음 방화벽 정책 중 하나에서 만드는 방화벽 규칙의 구성요소를 설명합니다.
방화벽 규칙 및 원격 직접 메모리 액세스 (RDMA) 네트워크 프로필에 대한 자세한 내용은 RoCE VPC 네트워크용 Cloud NGFW를 참고하세요.
각 방화벽 정책 규칙은 수신(인그레스)이나 송신(이그레스) 연결 중 하나에 적용됩니다. 두 연결 모두에 함께 적용되지는 않습니다. 방화벽 정책 규칙을 만들 때 규칙의 역할을 정의하는 구성요소를 지정합니다. 방향 외에도 소스, 대상, 프로토콜 및 대상 포트 (프로토콜이 포트를 사용하는 경우)와 같은 레이어 4 특성을 지정할 수 있습니다.
우선순위
방화벽 정책의 규칙 우선순위는 0~2,147,483,547(포함) 사이의 정수입니다. 낮은 정수는 높은 우선 순위를 나타냅니다. 방화벽 정책 내 규칙의 우선순위는 VPC 방화벽 규칙의 우선순위와 비슷하지만 다음과 같은 차이가 있습니다.
- 방화벽 정책의 각 규칙에는 고유한 우선순위가 있어야 합니다.
- 방화벽 정책의 규칙 우선순위는 규칙의 고유 식별자로 사용됩니다. 방화벽 정책의 규칙은 식별을 위해 이름을 사용하지 않습니다.
- 방화벽 정책의 규칙 우선순위는 방화벽 정책 자체의 평가 순서를 정의합니다. VPC 방화벽 규칙과 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책의 규칙은 네트워크에 방화벽 정책 및 규칙 적용에 설명된 대로 평가됩니다.
일치 시 작업
방화벽 정책의 규칙에는 다음 작업 중 하나가 있을 수 있습니다.
| 작업 매개변수 | 설명 |
|---|---|
allow |
새 연결의 패킷을 허용합니다. 일치하는 규칙이 포함된 방화벽 정책의 규칙 평가를 중지합니다. 다른 방화벽 규칙은 평가하지 않습니다. 규칙의 방향과 관계없이 패킷 프로토콜과 방화벽 정책 유형이 연결 추적을 지원하는 경우 허용 규칙은 인그레스 및 이그레스 패킷을 모두 허용하는 방화벽 연결 추적 테이블 항목을 만듭니다. |
deny |
새 연결의 패킷을 허용하지 않습니다. 일치하는 규칙이 포함된 방화벽 정책의 규칙 평가를 중지합니다. 다른 방화벽 규칙은 평가하지 않습니다. Cloud NGFW는 방화벽 규칙을 평가하기 전에 항상 방화벽 연결 추적 테이블 항목을 확인합니다. 따라서 허용 규칙으로 연결 추적 테이블 항목이 생성된 경우 해당 연결 추적 테이블 항목이 우선합니다. |
apply_security_profile_group |
새 연결의 패킷을 가로채서 방화벽 엔드포인트 또는 가로채기 엔드포인트 그룹으로 전송합니다. 일치하는 규칙이 포함된 방화벽 정책의 규칙 평가를 중지합니다. 다른 방화벽 규칙은 평가하지 않습니다. 규칙의 방향과 관계없이 패킷 프로토콜과 방화벽 정책 유형이 연결 추적을 지원하는 경우 리전 네트워크 방화벽 정책에서는 |
goto_next |
방화벽 정책의 다른 규칙 평가를 중지하고 방화벽 정책 및 규칙 평가 순서의 다음 단계에 있는 규칙을 평가합니다. 방화벽 정책 및 규칙 평가 순서의 다음 단계는 다른 방화벽 정책의 규칙 또는 암시적 방화벽 규칙 평가일 수 있습니다. |
적용
상태를 사용 또는 중지로 설정하여 방화벽 정책 규칙을 적용할지 선택할 수 있습니다. 규칙을 생성하거나 규칙을 업데이트할 때 적용 상태를 설정합니다.
새 방화벽 규칙을 만들 때 적용 상태를 설정하지 않으면 방화벽 규칙이 자동으로 사용 설정됩니다.
프로토콜 및 포트
VPC 방화벽 규칙과 마찬가지로 규칙을 만들 때 프로토콜 및 포트 제약조건을 1개 이상 지정해야 합니다. 규칙에 TCP 또는 UDP를 지정할 때 프로토콜, 프로토콜 및 대상 포트, 프로토콜 및 대상 포트 범위를 지정할 수 있지만 포트 또는 포트 범위만 지정할 수는 없습니다. 또한 대상 포트만 지정할 수 있습니다. 소스 포트 기반의 규칙은 지원되지 않습니다.
방화벽 규칙에서 다음 프로토콜 이름을 사용할 수 있습니다. tcp, udp, icmp(IPv4 ICMP용), esp, ah, sctp, ipip 다른 모든 프로토콜의 경우 IANA 프로토콜 번호를 사용합니다.
많은 프로토콜이 IPv4와 IPv6 모두에서 동일한 이름과 번호를 사용하지만 ICMP와 같은 일부 프로토콜은 사용하지 않습니다. IPv4 ICMP를 지정하려면 icmp 또는 프로토콜 번호 1을 사용합니다. IPv6 ICMP를 지정하려면 프로토콜 번호 58을 사용합니다.
방화벽 규칙에서는 ICMP 유형과 코드 지정을 지원하지 않으며 프로토콜만 지원합니다.
IPv6 홉별 프로토콜은 방화벽 규칙에서 지원되지 않습니다.
프로토콜 및 포트 파라미터를 지정하지 않으면 규칙이 모든 프로토콜 및 대상 포트에 적용됩니다.
로깅
방화벽 정책 규칙의 로깅은 다음을 제외하고 VPC VPC 방화벽 규칙 로깅과 동일하게 작동합니다.
참조 필드에는 방화벽 정책 ID와 정책이 연결된 리소스의 수준을 나타내는 번호가 포함됩니다. 예를 들어
0은 정책이 조직에 적용되는 경우1은 정책이 조직의 최상위 폴더에 적용됨을 의미합니다.방화벽 정책 규칙의 로그에는 규칙이 적용되는 VPC 네트워크를 식별하는
target_resource필드가 포함됩니다.
allow,deny,apply_security_profile_group규칙에만 로깅을 사용 설정할 수 있으며goto_next규칙에는 사용 설정할 수 없습니다.apply_security_profile_group작업을 사용하는 규칙에 로깅을 사용 설정하면 Cloud NGFW는 트래픽 세션을 가로채고 심층 패킷 검사를 위해 트래픽을 방화벽 엔드포인트로 리디렉션할 때 단일 로그 항목을 생성합니다. 이 로그 항목은 방화벽 규칙이 트래픽과 일치하고 방화벽 엔드포인트로 트래픽을 성공적으로 리디렉션했음을 확인합니다. 자세한 내용은 방화벽 정책 규칙 로깅 개요를 참고하세요.방화벽 엔드포인트는 침입 감지 및 방지 서비스, URL 필터링 서비스와 같은 심층 패킷 검사를 실행하고 자체 로그 세트를 생성합니다. 이러한 로그는 차단된 세션 내 연결에 관한 자세한 정보를 제공하며 감지된 위협이나 URL 필터링 작업을 나열합니다. 이러한 딥 패킷 검사 로그는 세션당 여러 로그 항목을 생성할 수 있습니다.
타겟, 소스, 대상
대상, 소스, 대상 매개변수는 함께 작동하여 방화벽 규칙의 범위를 결정합니다.
대상 매개변수: 방화벽 규칙이 적용되는 리소스를 식별합니다.
소스 및 대상 매개변수: 트래픽 기준을 정의합니다. 인그레스 및 이그레스 규칙 모두에 대해 지정할 수 있습니다. 소스 및 대상 매개변수의 유효한 옵션은 대상 매개변수와 방화벽 규칙의 방향에 따라 달라집니다.
대상
대상 유형 매개변수와 하나 이상의 대상 매개변수는 방화벽 규칙의 대상을 정의합니다. 방화벽 규칙의 이러한 대상은 방화벽 규칙이 보호하는 리소스입니다.
타겟 유형이 누락되거나
INSTANCES로 설정된 경우 방화벽 규칙은 Google Kubernetes Engine 노드 및 App Engine 가변형 환경 인스턴스를 포함한 Compute Engine 인스턴스의 네트워크 인터페이스에 적용됩니다. 인그레스 및 이그레스 규칙이 모두 지원됩니다.방화벽 규칙이 적용되는 VM 네트워크 인터페이스를 지정하려면 타겟 매개변수를 사용하세요.
모든 대상 매개변수를 생략하면 방화벽 규칙이 가장 광범위한 인스턴스 대상에 적용됩니다.
대상 유형이
INTERNAL_MANAGED_LB(미리보기)로 설정된 경우 방화벽 규칙은 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리형 Envoy 프록시에 적용됩니다. 인그레스 규칙만 지원됩니다.대상 전달 규칙 매개변수를 생략하면 방화벽 규칙이 가장 광범위한 부하 분산기 대상에 적용됩니다.
방화벽 규칙을 단일 부하 분산기로 제한하려면 대상 전달 규칙 매개변수를 사용합니다. 자세한 내용은 특정 타겟을 참고하세요.
가장 광범위한 인스턴스 타겟
가장 광범위한 인스턴스 타겟은 방화벽 정책 유형에 따라 다릅니다.
계층식 방화벽 정책의 규칙에 대한 가장 광범위한 인스턴스 타겟: 계층식 방화벽 정책과 연결된 Resource Manager 노드 (폴더 또는 조직) 아래의 프로젝트에 있는 모든 VPC 네트워크의 모든 리전의 서브넷에 있는 모든 VM 네트워크 인터페이스입니다.
전역 네트워크 방화벽 정책의 규칙에 대한 가장 광범위한 인스턴스 타겟: 전역 네트워크 방화벽 정책과 연결된 VPC 네트워크의 모든 리전에 있는 서브넷의 모든 VM 네트워크 인터페이스입니다.
리전 네트워크 방화벽 정책의 규칙에 대한 가장 광범위한 인스턴스 대상: 리전 네트워크 방화벽 정책과 연결된 리전 및 VPC 네트워크 내 서브넷의 모든 VM 네트워크 인터페이스
가장 광범위한 부하 분산기 대상
리전 네트워크 방화벽 정책은 규칙이 부하 분산기 타겟을 지원하는 유일한 정책입니다. 가장 광범위한 부하 분산기 타겟은 정책의 리전 및 연결된 VPC 네트워크에 있는 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기의 전달 규칙입니다.특정 타겟
다음 표에는 타겟 매개변수, 각 매개변수가 있는 규칙을 지원하는 방화벽 정책, 지원되는 규칙 타겟 유형이 나열되어 있습니다. 타겟 매개변수를 지정하지 않으면 규칙의 타겟 유형에 따라 가장 광범위한 인스턴스 타겟 또는 가장 광범위한 부하 분산기 타겟이 사용됩니다. 체크표시는 매개변수가 지원됨을 나타내고 기호는 매개변수가 지원되지 않음을 나타냅니다.
| 타겟 매개변수 | 방화벽 정책 지원 | 규칙 대상 유형 지원 | |||
|---|---|---|---|---|---|
| 계층 | 글로벌 네트워크 | 리전 네트워크 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 타겟 VPC 네트워크 리소스
|
|||||
| 대상 서비스 계정
|
|||||
| 네트워크 목적으로 사용되는 데이터가 있는 태그 키의 보안 태그 값 타겟팅
이 목록은 가장 광범위한 인스턴스 타겟을 다음 기준을 모두 충족하는 VM 네트워크 인터페이스로 좁힙니다.
자세한 내용은 방화벽 보안 태그를 참고하세요. |
|||||
| 조직 목적 데이터가 있는 태그 키의 보안 태그 값 타겟팅
이 목록은 가장 광범위한 인스턴스 타겟을 다음 기준을 모두 충족하는 VM 네트워크 인터페이스로 좁힙니다.
자세한 내용은 방화벽 보안 태그를 참고하세요. |
|||||
| 타겟 전달 규칙
미리보기
대상 전달 규칙 형식에 지정된 내부 애플리케이션 부하 분산기 또는 내부 프록시 네트워크 부하 분산기의 단일 전달 규칙입니다. 이 매개변수는 가장 광범위한 부하 분산기 타겟을 특정 내부 애플리케이션 부하 분산기 또는 내부 프록시 네트워크 부하 분산기로 좁힙니다. |
|||||
특정 타겟 조합
target-resources 매개변수를 지원하는 규칙은 다른 타겟 매개변수와 결합하여 타겟 매개변수 조합을 만들 수 있습니다.
다음 표에는 지원되는 타겟 매개변수 조합, 각 매개변수가 포함된 규칙을 지원하는 방화벽 정책, 지원되는 규칙 타겟 유형이 나와 있습니다. 타겟 매개변수를 지정하지 않으면 규칙은 규칙의 타겟 유형에 따라 가장 광범위한 인스턴스 타겟 또는 가장 광범위한 부하 분산기 타겟을 사용합니다.
체크표시는 매개변수가 지원됨을 나타내고 기호는 매개변수가 지원되지 않음을 나타냅니다.
| 타겟 매개변수 조합 | 방화벽 정책 지원 | 규칙 대상 유형 지원 | |||
|---|---|---|---|---|---|
| 계층 | 글로벌 네트워크 | 리전 네트워크 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 타겟 VPC 네트워크 리소스와 타겟 서비스 계정의 조합
이 조합은 가장 광범위한 인스턴스 타겟을 다음 기준을 모두 충족하는 VM 네트워크 인터페이스로 좁힙니다.
|
|||||
| 타겟 VPC 네트워크 리소스와 타겟 보안 태그 값의 조합
이 조합은 가장 광범위한 인스턴스 타겟을 다음 기준을 모두 충족하는 VM 네트워크 인터페이스로 좁힙니다.
|
|||||
대상 전달 규칙 형식
방화벽 규칙의 대상 유형이INTERNAL_MANAGED_LB(미리보기)로 설정된 경우 대상 전달 규칙 매개변수는 다음 형식의 값을 허용합니다.
리전 내부 애플리케이션 부하 분산기 및 리전 내부 프록시 네트워크 부하 분산기:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
리전 간 내부 애플리케이션 부하 분산기 및 리전 간 내부 프록시 네트워크 부하 분산기의 경우:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
인그레스 규칙 타겟 및 IP 주소
방화벽 규칙 대상 유형이 누락되거나 INSTANCES로 설정된 경우 규칙은 대상 VM의 네트워크 인터페이스로 라우팅되는 패킷에 적용됩니다.
인그레스 방화벽 규칙에 대상 IP 주소 범위가 포함되는 경우 패킷의 대상이 명시적으로 정의된 대상 IP 주소 범위 중 하나에 속해야 합니다.
인그레스 방화벽 규칙에 대상 IP 주소 범위가 포함되지 않는 경우, 패킷의 대상이 각 대상 VM의 다음 IP 주소 중 하나와 일치해야 합니다.
인스턴스 NIC에 할당된 기본 내부 IPv4 주소
인스턴스 NIC에 구성된 모든 별칭 IP 주소 범위
인스턴스 NIC와 연결된 외부 IPv4 주소
서브넷에 IPv6를 구성한 경우 NIC에 할당된 모든 IPv6 주소
인스턴스가 내부 패스 스루 네트워크 부하 분산기 또는 외부 패스 스루 네트워크 부하 분산기의 백엔드인 패스 스루 부하 분산에 사용되는 전달 규칙과 연결된 내부 또는 외부 IP 주소
인스턴스가 타겟 인스턴스에서 참조되는 경우 프로토콜 전달에 사용되는 전달 규칙과 연결된 내부 또는 외부 IP 주소
인스턴스 (
next-hop-instance또는next-hop-address)를 다음 홉 VM으로 사용하는 커스텀 정적 경로의 대상 범위에 속한 IP 주소VM이 부하 분산기의 백엔드인 경우 내부 패스 스루 네트워크 부하 분산기 (
next-hop-ilb)를 다음 홉으로 사용하는 커스텀 정적 경로의 대상 범위에 속한 IP 주소
방화벽 규칙의 대상 유형이 INTERNAL_MANAGED_LB(미리보기)로 설정되면 규칙은 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기와 연결된 관리형 Envoy 프록시로 라우팅되는 패킷을 필터링합니다. 인그레스 규칙에서 대상 IP 범위를 사용하는 경우 범위에 관련 부하 분산기 전달 규칙 IP 주소가 포함되어 있는지 확인하세요.
이그레스 규칙의 타겟 및 IP 주소
방화벽 규칙 대상 유형이 누락되거나 INSTANCES로 설정된 경우 규칙은 대상 VM의 네트워크 인터페이스에서 배출된 패킷에 적용됩니다.
타겟 VM에 IP 전달이 사용 중지된 경우 (기본값) VM은 다음 소스를 사용하여 패킷을 내보낼 수 있습니다.
인스턴스 NIC의 기본 내부 IPv4 주소
인스턴스 NIC의 모든 구성된 별칭 IP 주소 범위
서브넷에 IPv6를 구성한 경우 NIC에 할당된 모든 IPv6 주소
패스 스루 부하 분산 또는 프로토콜 전달을 위해 전달 규칙과 연결된 내부 또는 외부 IP 주소로, 인스턴스가 내부 패스 스루 네트워크 부하 분산기, 외부 패스 스루 네트워크 부하 분산기의 백엔드이거나 타겟 인스턴스에서 참조되는 경우에 유효합니다.
이그레스 방화벽 규칙에 소스 IP 주소 범위가 포함되는 경우 대상 VM은 여전히 이전에 언급된 소스 IP 주소로 제한되지만 소스 매개변수를 사용하여 소스를 세분화할 수 있습니다. IP 전달을 사용 설정하지 않고 소스 매개변수를 사용하면 가능한 패킷 소스 주소 집합이 확장되지 않습니다.
이그레스 방화벽 규칙에 소스 IP 주소 범위가 포함되지 않으면 이전에 언급된 모든 소스 IP 주소가 허용됩니다.
타겟 VM에 IP 전달이 사용 설정된 경우 VM이 임의의 소스 주소로 패킷을 내보낼 수 있습니다. 소스 파라미터를 사용하면 허용되는 패킷 소스 집합을 보다 정확하게 정의할 수 있습니다.
소스
소스 매개변수 값은 방화벽 규칙의 방향에 따라 달라집니다.
인그레스 규칙의 소스
이 표에는 인그레스 규칙의 소스 매개변수, 각 매개변수를 지원하는 방화벽 정책, 각 매개변수와 호환되는 규칙 타겟 유형이 나열되어 있습니다. 소스 매개변수를 하나 이상 지정해야 합니다. 체크표시는 매개변수가 지원됨을 나타내고 기호는 매개변수가 지원되지 않음을 나타냅니다.
| 인그레스 규칙 소스 파라미터 | 방화벽 정책 지원 | 규칙 대상 유형 지원 | |||
|---|---|---|---|---|---|
| 계층 | 글로벌 네트워크 | 리전 네트워크 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 소스 IP 주소 범위
CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 목록입니다. 목록은 방화벽 정책 규칙 자체 내에 저장됩니다. |
|||||
| 소스 주소 그룹
CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 재사용 가능한 컬렉션입니다. 방화벽 규칙에 이 컬렉션이 참조됩니다. 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요. |
|||||
| 소스 도메인 이름
하나 이상의 소스 도메인 이름 목록입니다. 도메인 이름이 IP 주소로 변환되는 방법을 포함하여 자세한 내용은 FQDN 객체를 참조하세요. |
|||||
| 네트워크 목적 데이터가 있는 태그 키에서 보안 태그 값 가져오기
목적 데이터가 단일 VPC 네트워크를 지정하는 태그 키의 하나 이상의 태그 값 목록입니다. 자세한 내용은 방화벽 보안 태그 및 소스 보안 태그가 패킷 소스를 암시하는 방법을 참고하세요. |
|||||
| 조직 목적 데이터가 있는 태그 키에서 보안 태그 값 가져오기
목적 데이터가 |
|||||
| 소스 위치정보
2자리 국가 또는 리전 코드로 지정된 하나 이상의 소스 위치정보 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요. |
|||||
| 소스 Google Threat Intelligence 목록
하나 이상의 사전 정의된 Google Threat Intelligence 목록 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요. |
|||||
| 소스 네트워크 컨텍스트
보안 경계를 정의하는 제약조건입니다. 유효한 값은 규칙의 타겟 유형에 따라 다릅니다. 자세한 내용은 네트워크 컨텍스트를 참고하세요. |
|||||
인그레스 규칙 소스 조합
단일 인그레스 규칙에서 둘 이상의 소스 파라미터를 사용하여 소스 조합을 생성할 수 있습니다. Cloud NGFW는 각 인그레스 규칙의 소스 조합에 다음 제약조건을 적용합니다.
- 소스 IP 주소 범위에는 IPv4 또는 IPv6 CIDR만 포함되어야 하며, 두 주소를 조합할 수 없습니다.
- IPv4 CIDR을 포함하는 소스 주소 그룹은 IPv6 CIDR이 포함된 소스 주소 그룹과 함께 사용할 수 없습니다.
- IPv4 CIDR을 포함하는 소스 IP 주소 범위는 IPv6 CIDR이 포함된 소스 주소 그룹과 함께 사용할 수 없습니다.
- IPv6 CIDR을 포함하는 소스 IP 주소 범위는 IPv4 CIDR이 포함된 소스 주소 그룹과 함께 사용할 수 없습니다.
- 인터넷 네트워크 컨텍스트는 소스 보안 태그와 함께 사용할 수 없습니다.
- 비인터넷 컨텍스트, VPC 네트워크 컨텍스트, VPC 간 컨텍스트는 소스 Google Threat Intelligence 목록 또는 소스 위치정보와 함께 사용할 수 없습니다.
Cloud NGFW는 패킷이 소스 조합을 사용하는 인그레스 규칙과 일치시키기 위해 다음 로직을 적용합니다.
소스 조합에 소스 네트워크 컨텍스트가 포함되지 않은 경우에는 패킷이 소스 조합에서 하나 이상의 소스 파라미터와 일치할 때 패킷이 인그레스 규칙과 일치합니다.
소스 조합에 소스 네트워크 컨텍스트가 포함된 경우에는 패킷이 소스 네트워크 컨텍스트와 일치하고 그리고 소스 조합에서 하나 이상의 기타 소스 파라미터와 일치할 때 패킷이 인그레스 규칙과 일치합니다.
소스 보안 태그가 패킷 소스를 의미하는 방법
인그레스 방화벽 규칙은 대상 유형이 생략되거나 INSTANCES로 설정된 경우 소스 보안 태그 값을 사용할 수 있습니다. 보안 태그 값은 IP 주소와 같은 패킷 특성이 아닌 네트워크 인터페이스를 식별합니다.
VM 인스턴스의 네트워크 인터페이스에서 전송된 패킷은 다음 규칙에 따라 소스 보안 태그 값을 사용하는 인그레스 규칙과 일치합니다.
인그레스 규칙이 리전 네트워크 정책에 포함된 경우 VM 인스턴스는 리전 네트워크 방화벽 정책과 동일한 리전에 있는 영역에 있어야 합니다. 그렇지 않으면 VM 인스턴스는 모든 영역에 있을 수 있습니다.
VM 인스턴스는 인그레스 방화벽 규칙에서 소스 보안 태그로 사용되는 것과 동일한 보안 태그 값과 연결되어야 합니다.
VM 인스턴스와 연결되고 인그레스 방화벽 규칙에서 사용되는 보안 태그 값은
purpose-data속성이 VM 인스턴스의 네트워크 인터페이스가 포함된 하나 이상의 VPC 네트워크를 식별하는 태그 키에서 가져와야 합니다.태그 키의 목적 데이터가 단일 VPC 네트워크를 지정하는 경우 소스 보안 태그 값을 사용하는 인그레스 방화벽 규칙은 해당 VPC 네트워크에 있는 VM 인스턴스의 네트워크 인터페이스에 적용됩니다.
태그 키의 목적 데이터가 조직을 지정하는 경우 소스 보안 태그 값을 사용하는 인그레스 방화벽 규칙은 조직의 모든 VPC 네트워크에 있는 VM 인스턴스의 네트워크 인터페이스에 적용됩니다.
식별된 VM 네트워크 인터페이스는 다음 기준 중 하나를 충족해야 합니다.
- VM 네트워크 인터페이스는 방화벽 정책이 적용되는 VPC 네트워크와 동일한 VPC 네트워크에 있습니다.
VM 네트워크 인터페이스는 VPC 네트워크 피어링을 사용하여 방화벽 정책이 적용되는 VPC 네트워크에 연결된 VPC 네트워크에 있습니다.
VM 네트워크 인터페이스에 사용되는 VPC 네트워크와 방화벽 정책이 적용되는 VPC 네트워크는 모두 동일한 NCC 허브에 있는 VPC 스포크입니다.
방화벽의 보안 태그에 대한 자세한 내용은 사양을 참고하세요.
이그레스 규칙의 소스
계층적 방화벽 정책과 네트워크 방화벽 정책 모두에서 이그레스 규칙에 다음 소스를 사용할 수 있습니다.
기본값 — 타겟에 의해 암시됨: 이그레스 규칙에서 소스 파라미터를 생략하면 패킷 소스가 이그레스 규칙의 타겟 및 IP 주소에 설명된 대로 암시적으로 정의됩니다
소스 IPv4 주소 범위: CIDR 형식의 IPv4 주소 목록입니다.
소스 IPv6 주소 범위: CIDR 형식의 IPv6 주소 목록입니다.
다음 안내에 따라 이그레스 규칙의 소스 IP 주소 범위를 추가합니다.
- VM 인터페이스에 내부 및 외부 IPv4 주소가 모두 할당되어 있으면 규칙 평가 중에 내부 IPv4 주소만 사용됩니다.
이그레스 규칙에 소스 IP 주소 범위와 목적지 매개변수가 있으면 목적지 매개변수가 소스 IP 버전과 동일한 IP 버전으로 확인됩니다.
예를 들어 이그레스 규칙의 경우 소스 파라미터에 IPv4 주소 범위가 있고 대상 파라미터에 FQDN 객체가 있습니다. FQDN이 IPv4 주소와 IPv6 주소 모두 변환한 경우 규칙 적용 중에 확인된 IPv4 주소만 사용됩니다.
대상
대상 매개변수 값은 방화벽 규칙의 방향에 따라 달라집니다.
인그레스 규칙의 대상
계층적 방화벽 정책과 네트워크 방화벽 정책에서 인그레스 방화벽 규칙에 다음과 같은 대상을 사용할 수 있습니다.
기본값 — 타겟에 의해 암시됨: 인그레스 규칙에서 대상 파라미터를 생략하면 패킷 대상이 인그레스 규칙의 타겟 및 IP 주소에 설명된 대로 암시적으로 정의됩니다.
대상 IPv4 주소 범위: CIDR 형식의 IPv4 주소 목록입니다.
대상 IPv6 주소 범위: CIDR 형식의 IPv6 주소 목록입니다.
다음 안내에 따라 인그레스 규칙의 대상 IP 주소 범위를 추가합니다.
VM 인터페이스에 내부 및 외부 IPv4 주소가 모두 할당되어 있으면 규칙 평가 중에 내부 IPv4 주소만 사용됩니다.
인그레스 규칙에 소스 파라미터와 대상 파라미터가 모두 정의된 경우 소스 파라미터는 대상 IP 버전과 동일한 IP 버전으로 변환됩니다. 인그레스 규칙의 소스를 정의하는 방법에 대한 자세한 내용은 계층식 방화벽 정책의 인그레스 규칙 소스 및 네트워크 방화벽 정책의 인그레스 규칙 소스를 참고하세요.
예를 들어 인그레스 규칙에는 대상 매개변수에 IPv6 주소 범위가, 소스 매개변수에 위치정보 국가 코드가 있습니다. 규칙 적용 중에는 지정된 소스 국가 코드에 매핑된 IPv6 주소만 사용됩니다.
이그레스 규칙의 대상
이 표에는 이그레스 규칙의 대상 매개변수, 각 매개변수를 지원하는 방화벽 정책, 각 매개변수와 호환되는 규칙 대상 유형이 나열되어 있습니다. 대상 파라미터를 하나 이상 지정해야 합니다. 체크표시는 파라미터가 지원됨을 나타내고 기호는 파라미터가 지원되지 않음을 나타냅니다.
| 이그레스 규칙 대상 파라미터 | 방화벽 정책 지원 | 규칙 대상 유형 지원 | |||
|---|---|---|---|---|---|
| 계층 | 글로벌 네트워크 | 리전 네트워크 | INSTANCES |
INTERNAL_MANAGED_LB |
|
| 대상 IP 주소 범위
CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 목록입니다. 목록은 방화벽 정책 규칙 자체 내에 저장됩니다. |
|||||
| 대상 주소 그룹
CIDR 형식의 IPv4 주소 또는 CIDR 형식의 IPv6 주소로 구성된 재사용 가능한 컬렉션입니다. 이 컬렉션은 방화벽 정책 규칙에서 참조됩니다. 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요. |
|||||
| 대상 도메인 이름
하나 이상의 대상 도메인 이름 목록입니다. 도메인 이름이 IP 주소로 변환되는 방법을 포함하여 자세한 내용은 FQDN 객체를 참고하세요. |
|||||
| 대상 위치정보
2자리 국가 또는 리전 코드로 지정된 하나 이상의 소스 위치정보 목록입니다. 자세한 내용은 위치정보 객체를 참조하세요. |
|||||
| 대상 Google Threat Intelligence 목록
하나 이상의 사전 정의된 Google Threat Intelligence 목록 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요. |
|||||
| 대상 네트워크 컨텍스트
보안 경계를 정의하는 제약조건입니다. |
|||||
이그레스 규칙 대상 조합
단일 이그레스 규칙에서 둘 이상의 대상 파라미터를 사용하여 대상 조합을 생성할 수 있습니다. Cloud NGFW는 각 이그레스 규칙의 대상 조합에 다음 제약조건을 적용합니다.
- 대상 IP 주소 범위에는 IPv4 또는 IPv6 CIDR만 포함되어야 하며, 두 주소를 조합할 수 없습니다.
- IPv4 CIDR이 포함된 대상 주소 그룹은 IPv6 CIDR이 포함된 대상 주소 그룹과 함께 사용할 수 없습니다.
- IPv4 CIDR이 포함된 대상 IP 주소 범위는 IPv6 CIDR이 포함된 대상 주소 그룹과 함께 사용할 수 없습니다.
- IPv6 CIDR이 포함된 대상 IP 주소 범위는 IPv4 CIDR이 포함된 대상 주소 그룹과 함께 사용할 수 없습니다.
- 대상 Google Threat Intelligence 목록 또는 대상 위치정보는 대상의 비인터넷 네트워크 컨텍스트에 사용할 수 없습니다.
Cloud NGFW는 패킷을 대상 조합을 사용하는 이그레스 규칙과 일치시키기 위해 다음 로직을 적용합니다.
대상 조합에 대상 네트워크 컨텍스트가 포함되지 않은 경우에는 패킷이 대상 조합에서 하나 이상의 대상 파라미터와 일치할 때 패킷이 이그레스 규칙과 일치합니다.
대상 조합에 대상 네트워크 컨텍스트가 포함된 경우에는 패킷이 대상 네트워크 컨텍스트와 일치하고 그리고 대상 조합에서 하나 이상의 기타 대상 파라미터와 일치할 때 패킷이 이그레스 규칙과 일치합니다.