방화벽 정책 규칙의 위치정보 객체를 사용하면 특정 지리적 위치 또는 리전을 기반으로 외부 IPv4 및 외부 IPv6 트래픽을 필터링할 수 있습니다.
위치정보 객체가 있는 규칙을 인그레스 및 이그레스 트래픽에 적용할 수 있습니다. 트래픽 방향에 따라 국가 코드와 연결된 IP 주소가 트래픽의 소스 또는 대상과 일치합니다.
사양
위치정보 객체에는 다음 방화벽 사양이 적용됩니다.
계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 대한 위치정보 객체를 구성할 수 있습니다.
방화벽 정책 규칙에 위치정보를 추가하려면 ISO 3166 알파-2 국가 코드에서 정의된 대로 2자리 국가 또는 리전 코드를 사용합니다.
예를 들어 미국에서 네트워크로의 수신 트래픽만 허용하려면 소스 국가 코드를
US로 설정하고 작업을allow로 설정하여 인그레스 방화벽 정책 규칙을 만듭니다. 마찬가지로 미국으로의 아웃바운드 트래픽만 허용하려면 대상 국가 코드를US로 설정하고 작업을allow로 설정하여 이그레스 방화벽 정책 규칙을 구성합니다.Cloud NGFW를 사용하면 포괄적인 미국 제재가 적용되는 다음 지역에 대해 방화벽 규칙을 구성할 수 있습니다.
지역 할당된 코드 크리미아 XC 도네츠크 인민공화국 및 루간스크 인민공화국 XD 단일 방화벽 규칙에 포함된 국가 코드가 중복되면 해당 국가 코드의 항목이 하나만 유지됩니다. 중복 항목은 삭제됩니다. 예를 들어 국가 코드 목록
ca,us,us에서는ca,us만 유지됩니다.Google은 IP 주소 및 국가 코드 매핑을 사용해서 데이터베이스를 유지보수합니다.Google Cloud 방화벽은 이 데이터베이스를 사용하여 소스 및 대상 트래픽의 IP 주소를 국가 코드에 매핑한 후 위치정보 객체와 함께 일치하는 방화벽 정책 규칙을 적용합니다.
IP 주소 할당 및 국가 코드가 다음 조건으로 인해 변경되는 경우가 있습니다.
- 지리적 위치 간 IP 주소 이동
- ISO 3166 알파-2 국가 코드 표준으로 업데이트
이러한 변경사항이 Google의 데이터베이스에 반영되는 데 다소 시간이 걸리므로 일부 트래픽의 중단 및 차단되거나 허용되는 특정 트래픽에 대한 동작의 변화를 확인할 수 있습니다.
내부 IP 주소와 일치하는 위치정보 객체
위치정보 객체는 외부 IP 주소에 적용되도록 설계되었습니다. 위치정보 객체는 다음 표에 표시된 비공개 내부 IP 주소에는 적용되지 않습니다.
| 주소 유형 | 범위 및 사양 |
|---|---|
| 내부 IPv4 (비공개) | 모든 RFC 정의 비공개 IPv4 주소 범위(RFC 1918 및 RFC 6598 포함) 및 링크 로컬 주소(169.254.0.0/16) |
| 내부 IPv6 (비공개) | 고유 로컬 주소 (ULA) (fc00::/7) 및 링크 로컬 주소 (fe80::/10) |
하지만 위치정보 객체 방화벽 정책 규칙은 비공개로 사용되는 공개 IP 주소인 경우 내부 IP 주소에 적용됩니다. 이러한 주소는 VPC 네트워크 내부 주소이지만 공개 주소이며 지리적 위치 객체와 일치합니다. 비공개로 사용되는 공개 IP 주소를 사용할 때 통신 문제가 발생하지 않도록 비공개로 사용되는 공개 IP 주소 범위로 또는 해당 범위에서 트래픽을 허용하는 우선순위가 더 높은 방화벽 정책 규칙을 만드세요.
다른 방화벽 정책 규칙 필터와 함께 위치정보 객체 사용
위치정보 객체는 다른 소스 또는 대상 필터와 함께 사용할 수 있습니다. 규칙 방향에 따라 방화벽 정책 규칙이 지정된 모든 필터의 합집합과 일치하는 수신 또는 발신 트래픽에 적용됩니다.
위치정보 객체가 인그레스 규칙의 다른 소스 필터와 작동하는 방식에 대한 자세한 내용은 인그레스 규칙의 소스를 참고하세요.
위치정보 객체가 이그레스 규칙의 다른 대상 필터와 작동하는 방식에 대한 자세한 내용은 이그레스 규칙의 대상을 참조하세요.