계층식, 전역 또는 리전 네트워크 방화벽 정책을 만들면 Cloud Next Generation Firewall이 사전 정의된 규칙을 자동으로 추가합니다. 이러한 규칙을 맞춤설정하거나 재정의하여 원하는 네트워크 보안 상태를 유지할 수 있습니다. 사전 정의된 규칙은 Google Cloud 콘솔, gcloud CLI 또는 API를 사용하는지에 따라 다릅니다.
이 문서는 네트워크 관리자와 보안 엔지니어가 방화벽 정책의 규칙을 정의하는 데 도움이 됩니다.
사전 정의된 규칙 유형
콘솔을 사용하여 방화벽 정책을 만들면 Cloud NGFW는 다음 규칙을 새 정책에 추가합니다. Google Cloud
- 비공개 IPv4 범위의 goto-next 규칙
- 사전 정의된 Google Threat Intelligence 거부 규칙
- 사전 정의된 위치정보 거부 규칙
- 우선순위가 가장 낮은 goto-next 규칙
Google Cloud CLI 또는 API를 사용하여 방화벽 정책을 만드는 경우 Cloud NGFW는 우선순위가 가장 낮은 goto-next 규칙만 정책에 추가합니다.
새 방화벽 정책의 모든 사전 정의된 규칙은 의도적으로 낮은 우선순위 (큰 우선순위 번호)를 사용하므로 우선순위가 더 높은 인그레스 또는 이그레스 규칙을 만들어 재정의할 수 있습니다. 우선순위가 가장 낮은 goto-next 규칙을 제외하고 사전 정의된 규칙을 맞춤설정할 수도 있습니다.
비공개 IPv4 범위의 goto-next 규칙
대상 IPv4 범위
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위1000,goto_next작업이 있는 이그레스 규칙소스 IPv4 범위
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위1001,goto_next작업이 있는 인그레스 규칙
사전 정의된 Google Threat Intelligence 거부 규칙
소스 Google Threat Intelligence 목록
iplist-tor-exit-nodes, 우선순위1002,deny작업이 있는 인그레스 규칙소스 Google Threat Intelligence 목록
iplist-known-malicious-ips, 우선순위1003,deny작업이 있는 인그레스 규칙대상 Google Threat Intelligence 목록
iplist-known-malicious-ips, 우선순위1004,deny작업이 있는 이그레스 규칙
Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.
사전 정의된 위치정보 거부 규칙
- 소스 일치 위치정보
CU,IR,KP,SY,XC,XD, 우선순위1005,deny작업이 있는 인그레스 규칙
위치정보에 대한 자세한 내용은 위치정보 객체를 참조하세요.
우선순위가 가장 낮은 goto-next 규칙
다음 규칙은 수정하거나 삭제할 수 없습니다.
대상 IPv6 범위
::/0, 우선순위2147483644,goto_next작업이 있는 이그레스 규칙소스 IPv6 범위
::/0, 우선순위2147483645,goto_next작업이 있는 인그레스 규칙대상 IPv4 범위
0.0.0.0/0, 우선순위2147483646,goto_next작업이 있는 이그레스 규칙소스 IPv4 범위
0.0.0.0/0, 우선순위2147483647,goto_next작업이 있는 인그레스 규칙
다음 단계
- 사전 정의된 규칙을 수정합니다. 자세한 내용은 전역 네트워크 방화벽 정책 규칙 업데이트, 리전 네트워크 방화벽 정책 규칙 업데이트, 계층식 방화벽 정책 규칙 업데이트를 참조하세요.
- 자체 규칙을 추가합니다. 자세한 내용은 전역 네트워크 방화벽 정책 만들기, 리전 네트워크 방화벽 정책 만들기, 방화벽 정책 만들기를 참조하세요.