방화벽 정책 규칙은 트래픽에 적용될 때 로그 항목을 생성합니다. 패킷 흐름은 여러 로그 항목을 생성할 수 있지만 방화벽 정책 규칙은 가상 머신 (VM) 인스턴스의 연결당 최대 하나의 로그 항목을 생성합니다.
다음 예에서는 거부된 연결에 대한 반복 로깅, 고급 검사를 위한 세션 기반 로깅과 같이 기존 Virtual Private Cloud (VPC) 방화벽 규칙과 다른 동작을 포함하여 방화벽 정책 규칙 로깅이 작동하는 방식을 보여줍니다.
이그레스 거부 예시
이 예에서는 트래픽이 example-proj 프로젝트의 example-net VPC 네트워크에 있는 두 VM 인스턴스 간에 흐릅니다.
-
west-subnet(us-west1리전)에서 IP 주소가10.10.0.99인us-west1-a영역의 VM1 -
east-subnet(us-east1리전)에서 IP 주소가10.20.0.99인us-east1-b영역의 VM2 - 규칙 A: 이그레스 거부 방화벽 규칙은 네트워크의 모든 인스턴스 대상인
10.20.0.99(VM2) 대상을 포함하며 TCP 포트80에 적용됩니다. 이 규칙에 로깅이 사용 설정됩니다. - 규칙 B: 인그레스 허용 방화벽 규칙은 네트워크의 모든 인스턴스 대상인
10.10.0.99(VM1) 소스를 포함하며 TCP 포트80에 적용됩니다. 이 규칙에도 로깅이 사용 설정됩니다.
방화벽 정책 규칙을 만들려면 방화벽 정책 규칙 작업을 참조하세요.
VM1이 TCP 포트 80에서 VM2로 연결을 시도하는 시나리오에서는 다음과 같은 결과가 발생합니다.
방화벽은 실패한 연결 시도에 대해 VM1의 관점에서 규칙 A의 로그 항목을 생성합니다.
규칙 A는
DENY규칙이므로 방화벽은 고유한 5-튜플에 해당하는 각 패킷을 실패한 연결 시도로 로깅합니다. 방화벽이 이 연결에 대한 패킷을 계속 수신하면 동일한 로그 항목을 5초마다 반복합니다.규칙 A는 소스에서 트래픽을 차단하므로 방화벽은 규칙 B를 고려하지 않습니다. 따라서 VM2의 관점에서 규칙 B의 로그 항목을 생성하지 않습니다.
VM1은 다음 방화벽 로그 레코드를 보고합니다.
| 필드 | 값 |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
거부됨 |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = DENY destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress |
instance |
project_id="example-proj" instance_name=VM1 region=us-west1 zone=us-west1-a |
이그레스 허용, 인그레스 허용 예시
이 예에서는 트래픽이 example-proj 프로젝트의 example-net VPC 네트워크에 있는 VM 인스턴스 간에 흐릅니다.
-
west-subnet(us-west1리전)에서 IP 주소가10.10.0.99인us-west1-a영역의 VM1 -
east-subnet(us-east1리전)에서 IP 주소가10.20.0.99인us-east1-b영역의 VM2 - 규칙 A: 전역 네트워크 방화벽 정책 이그레스 허용 규칙은
10.20.0.99(VM2) 대상을 포함하며 TCP 포트80에 적용됩니다. 이 규칙에 로깅이 사용 설정됩니다. - 규칙 B: 전역 네트워크 방화벽 정책 인그레스 허용 규칙은
소스
10.10.0.99(VM1)를 포함하며 TCP 포트80에 적용됩니다. 이 규칙에 로깅이 사용 설정됩니다.
방화벽 정책 규칙을 만들려면 방화벽 정책 규칙 작업을 참조하세요.
VM1이 TCP 포트 80에서 VM2로 연결을 시도하는 시나리오에서는 다음과 같은 결과가 발생합니다.
- 방화벽은 VM1이
10.20.0.99에 연결하는 동안 VM1의 관점에서 규칙 A의 로그 항목을 생성합니다.ALLOW규칙이므로 연결은 한 번만 로깅되고 반복되지 않습니다. - 방화벽은 VM2가
10.10.0.99의 수신 연결을 허용하는 동안 VM2의 관점에서 규칙 B의 로그 항목을 생성합니다.
VM1은 다음 방화벽 로그 레코드를 보고합니다.
| 필드 | 값 |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
허용됨 |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress |
VM2는 다음 방화벽 로그 레코드를 보고합니다.
| 필드 | 값 |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
허용됨 |
rule_details |
reference = "network:example-net/firewallPolicy:67890" priority = 10 action = ALLOW source_range = 10.10.0.99/32 ip_port_info = tcp:80 direction = ingress |
인터넷 인그레스 예시
이 예에서는 트래픽이 외부 리소스에서 example-net VPC 네트워크 내의 VM 인스턴스로 흐릅니다. 네트워크는 example-proj 프로젝트에 있습니다.
- 인터넷 시스템의 IP 주소는
203.0.113.114입니다. west-subnet(us-west1리전)에서 IP 주소가10.10.0.99인us-west1-a영역의 VM1- 규칙 C: 인그레스 허용 방화벽 정책 규칙은 모든 IP 주소 (
0.0.0.0/0) 소스를 포함하며 TCP 포트80에 적용됩니다. 이 규칙에 로깅이 사용 설정됩니다. - 규칙 D: 이그레스 거부 방화벽 정책 규칙은 모든 IP 주소 (
0.0.0.0/0) 대상을 포함하며 모든 프로토콜에 적용됩니다. 이 규칙에 로깅이 사용 설정됩니다.
방화벽 정책 규칙을 만들려면 방화벽 정책 규칙 작업을 참조하세요.
IP 주소가 203.0.113.114인 시스템이 TCP 포트 80에서 VM1로 연결을 시도하는 시나리오에서는 다음과 같은 결과가 발생합니다.
- VM1은
203.0.113.114의 트래픽을 허용할 때 규칙 C의 로그 항목을 생성합니다. - Cloud Next Generation Firewall 정책 규칙은 스테이트풀(Stateful)입니다. 즉, 수신(인그레스) 방화벽 규칙이 VM 인스턴스로의 트래픽을 허용하는 경우 송신(이그레스) 반환 트래픽이 자동으로 허용됩니다.
이 경우 규칙 C는 인그레스 트래픽을 허용하므로 VM1은 규칙 D에도 불구하고
203.0.113.114로 응답 트래픽을 보낼 수 있습니다. - 연결 추적은 응답 트래픽을 허용하며 이그레스 방화벽 규칙에 관계없이 로깅을 발생시키지 않습니다. 따라서 방화벽은 규칙 D를 고려하지 않으며 이그레스 로그 항목을 생성하지 않습니다.
VM1은 다음 방화벽 로그 레코드를 보고합니다.
| 필드 | 값 |
|---|---|
connection |
src_ip=203.0.113.114 src_port=[EPHEMERAL_PORT] dest_ip=10.10.0.99 dest_port=80 protocol=6 |
disposition |
허용됨 |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW source_range = 0.0.0.0/0 ip_port_info = tcp:80 direction = ingress |
remote_location |
continent country region city |
고급 검사 예
이 예에서는 Cloud NGFW 방화벽 정책이 apply_security_profile_group 작업을 사용하여 심층 패킷 검사를 위해 트래픽을 가로챕니다.
- 인터넷 시스템의 IP 주소는
203.0.113.114입니다. -
west-subnet(us-west1리전)에서 IP 주소가10.10.0.99인us-west1-a영역의 VM1 - 규칙 E: 작업이
apply_security_profile_group으로 설정된 이그레스 방화벽 정책 규칙입니다. 이 규칙에 로깅이 사용 설정됩니다.
고급 검사를 위한 방화벽 정책 규칙을 만들려면 보안 프로필 개요를 참조하세요.
VM1이 규칙 E와 일치하는 트래픽을 보낸다고 가정합니다. 다음과 같은 결과가 발생합니다.
apply_security_profile_group작업은 표준allow또는deny규칙에서 생성되는 연결 기반 로그와 다른 세션 기반 로깅을 사용합니다.Cloud NGFW는 규칙과 일치하는 초기 세션에 대해 단일 방화벽 규칙 로그 항목을 생성하여 트래픽이 성공적으로 가로채 방화벽 엔드포인트로 리디렉션되었음을 확인합니다. Cloud NGFW는 여러 연결이 동일한 세션의 일부로 식별되더라도 이 높은 수준의 로그를 생성합니다.
VM1은 다음 방화벽 로그 레코드를 보고합니다.
| 필드 | 값 |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=203.0.113.114 dest_port=80 protocol=6 |
disposition |
가로채기됨 |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = APPLY_SECURITY_PROFILE_GROUP apply_security_profile_fallback_action = UNSPECIFIED destination_range = 0.0.0.0/0 direction = egress |