방화벽 정책의 사전 정의된 규칙

계층식, 전역 또는 리전 네트워크 방화벽 정책을 만들면 Cloud Next Generation Firewall이 사전 정의된 규칙을 자동으로 추가합니다. 이러한 규칙을 맞춤설정하거나 재정의하여 원하는 네트워크 보안 상태를 유지할 수 있습니다. 사전 정의된 규칙은 Google Cloud 콘솔, gcloud CLI 또는 API를 사용하는지에 따라 다릅니다.

이 문서는 네트워크 관리자와 보안 엔지니어가 방화벽 정책의 규칙을 정의하는 데 도움이 됩니다.

사전 정의된 규칙 유형

콘솔을 사용하여 방화벽 정책을 만들면 Cloud NGFW는 다음 규칙을 새 정책에 추가합니다. Google Cloud

  1. 비공개 IPv4 범위의 goto-next 규칙
  2. 사전 정의된 Google Threat Intelligence 거부 규칙
  3. 사전 정의된 위치정보 거부 규칙
  4. 우선순위가 가장 낮은 goto-next 규칙

Google Cloud CLI 또는 API를 사용하여 방화벽 정책을 만드는 경우 Cloud NGFW는 우선순위가 가장 낮은 goto-next 규칙만 정책에 추가합니다.

새 방화벽 정책의 모든 사전 정의된 규칙은 의도적으로 낮은 우선순위 (큰 우선순위 번호)를 사용하므로 우선순위가 더 높은 인그레스 또는 이그레스 규칙을 만들어 재정의할 수 있습니다. 우선순위가 가장 낮은 goto-next 규칙을 제외하고 사전 정의된 규칙을 맞춤설정할 수도 있습니다.

비공개 IPv4 범위의 goto-next 규칙

  • 대상 IPv4 범위 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위 1000, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv4 범위 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위 1001, goto_next 작업이 있는 인그레스 규칙

사전 정의된 Google Threat Intelligence 거부 규칙

  • 소스 Google Threat Intelligence 목록 iplist-tor-exit-nodes, 우선순위 1002, deny 작업이 있는 인그레스 규칙

  • 소스 Google Threat Intelligence 목록 iplist-known-malicious-ips, 우선순위 1003, deny 작업이 있는 인그레스 규칙

  • 대상 Google Threat Intelligence 목록 iplist-known-malicious-ips, 우선순위 1004, deny 작업이 있는 이그레스 규칙

Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.

사전 정의된 위치정보 거부 규칙

  • 소스 일치 위치정보 CU, IR, KP, SY, XC, XD, 우선순위 1005, deny 작업이 있는 인그레스 규칙

위치정보에 대한 자세한 내용은 위치정보 객체를 참조하세요.

우선순위가 가장 낮은 goto-next 규칙

다음 규칙은 수정하거나 삭제할 수 없습니다.

  • 대상 IPv6 범위 ::/0, 우선순위 2147483644, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv6 범위 ::/0, 우선순위 2147483645, goto_next 작업이 있는 인그레스 규칙

  • 대상 IPv4 범위 0.0.0.0/0, 우선순위 2147483646, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv4 범위 0.0.0.0/0, 우선순위 2147483647, goto_next 작업이 있는 인그레스 규칙

다음 단계