방화벽 정책 규칙의 위치정보 객체를 사용하면 특정 지리적 위치 또는 리전을 기반으로 외부 IPv4 및 외부 IPv6 트래픽을 필터링할 수 있습니다.
위치정보 객체가 있는 규칙을 인그레스 및 이그레스 트래픽에 적용할 수 있습니다. 트래픽 방향에 따라 국가 코드와 연결된 IP 주소가 트래픽의 소스 또는 대상과 일치합니다.
계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 대한 위치정보 객체를 구성할 수 있습니다.
방화벽 정책 규칙에 위치정보를 추가하려면 ISO 3166 알파-2 국가 코드에서 정의된 대로 2자리 국가 또는 리전 코드를 사용합니다.
예를 들어 미국에서 네트워크로의 수신 트래픽만 허용하려면 소스 국가 코드를
US로 설정하고 작업을allow로 설정하여 인그레스 방화벽 정책 규칙을 만듭니다. 마찬가지로 미국으로의 아웃바운드 트래픽만 허용하려면 대상 국가 코드를US로 설정하고 작업을allow로 설정하여 이그레스 방화벽 정책 규칙을 구성합니다.Cloud NGFW를 사용하면 포괄적인 미국 제재가 적용되는 다음 지역에 대해 방화벽 규칙을 구성할 수 있습니다.
지역 할당된 코드 크리미아 XC 도네츠크 인민공화국 및 루간스크 인민공화국 XD 단일 방화벽 규칙에 포함된 국가 코드가 중복되면 해당 국가 코드의 항목이 하나만 유지됩니다. 중복 항목은 삭제됩니다. 예를 들어 국가 코드 목록
ca,us,us에서는ca,us만 유지됩니다.Google은 IP 주소 및 국가 코드 매핑을 사용해서 데이터베이스를 유지보수합니다.Google Cloud 방화벽은 이 데이터베이스를 사용하여 소스 및 대상 트래픽의 IP 주소를 국가 코드에 매핑한 후 위치정보 객체와 함께 일치하는 방화벽 정책 규칙을 적용합니다.
IP 주소 할당 및 국가 코드가 다음 조건으로 인해 변경되는 경우가 있습니다.
- 지리적 위치 간 IP 주소 이동
- ISO 3166 알파-2 국가 코드 표준으로 업데이트
이러한 변경사항이 Google의 데이터베이스에 반영되는 데 다소 시간이 걸리므로 일부 트래픽의 중단 및 차단되거나 허용되는 특정 트래픽에 대한 동작의 변화를 확인할 수 있습니다.
다른 방화벽 정책 규칙 필터와 함께 위치정보 객체 사용
위치정보 객체는 다른 소스 또는 대상 필터와 함께 사용할 수 있습니다. 규칙 방향에 따라 방화벽 정책 규칙이 지정된 모든 필터의 합집합과 일치하는 수신 또는 발신 트래픽에 적용됩니다.
위치정보 객체가 인그레스 규칙의 다른 소스 필터와 작동하는 방식에 대한 자세한 내용은 인그레스 규칙의 소스를 참고하세요.
위치정보 객체가 이그레스 규칙의 다른 대상 필터와 작동하는 방식에 대한 자세한 내용은 이그레스 규칙의 대상을 참조하세요.