이 페이지에서는 방화벽 정책 규칙이 Google Threat Intelligence 데이터를 기반으로 트래픽을 허용하거나 차단하여 네트워크를 보호하는 방법을 설명합니다. Google Threat Intelligence 데이터에는 다음 카테고리를 기준으로 IP 주소 목록이 포함됩니다.
- Tor 종료 노드: Tor는 익명 통신을 사용 설정하는 오픈소스 소프트웨어입니다. ID를 숨기는 사용자를 제외하려면 Tor 종료 노드의 IP 주소(트래픽이 Tor 네트워크를 나가는 엔드포인트)를 차단합니다.
- 알려진 악성 IP 주소: 웹 애플리케이션 공격이 발생한 것으로 알려진 IP 주소입니다. 애플리케이션의 보안 상태를 개선하려면 이러한 IP 주소를 차단하세요.
- 검색엔진: 사이트 색인 생성을 사용 설정할 수 있는 IP 주소입니다.
- 퍼블릭 클라우드 IP 주소 범위: 이 카테고리는 악의적인 자동화 도구가 웹 애플리케이션을 탐색하지 못하도록 차단되거나 서비스가 다른 퍼블릭 클라우드를 사용하는 경우 허용될 수 있습니다. 이 카테고리는 다음과 같은 하위 카테고리로 세분화됩니다.
- Amazon Web Services에서 사용하는 IP 주소 범위
- Microsoft Azure에서 사용하는 IP 주소 범위
- Google Cloud에서 사용하는 IP 주소 범위
- Google 서비스에서 사용하는 IP 주소 범위
Google Threat Intelligence 데이터 목록에는 IPv4 주소, IPv6 주소 또는 둘 다 포함될 수 있습니다. 방화벽 정책 규칙에서 Google Threat Intelligence를 구성하려면 허용하거나 차단하려는 카테고리를 기준으로 사전 정의된 Google Threat Intelligence 목록 이름을 사용합니다. 이 목록은 지속적으로 업데이트되므로 추가 구성 단계 없이 새로운 위협으로부터 서비스를 보호합니다. 유효한 목록 이름은 다음과 같습니다.
| 목록 이름 | 설명 |
|---|---|
| 알려진 악성 IP ( iplist-known-malicious-ips) |
웹 애플리케이션 공격에 알려진 IP 주소와 일치 |
| 검색엔진 크롤러 ( iplist-search-engines-crawlers) |
검색엔진 크롤러의 IP 주소와 일치 |
| TOR 종료 노드 ( iplist-tor-exit-nodes) |
TOR 종료 노드의 IP 주소와 일치 |
| 퍼블릭 클라우드 IP ( iplist-public-clouds) |
퍼블릭 클라우드에 속한 IP 주소와 일치 |
| 퍼블릭 클라우드 - AWS ( iplist-public-clouds-aws) |
Amazon Web Services에서 사용하는 IP 주소 범위와 일치 |
| 퍼블릭 클라우드 - Azure ( iplist-public-clouds-azure) |
Microsoft Azure에서 사용하는 IP 주소 범위와 일치 |
| 퍼블릭 클라우드 - Google Cloud ( iplist-public-clouds-gcp) |
Compute Engine VM 및 GKE 클러스터와 같은 고객 리소스에서 사용되는 IP 주소 범위와 일치합니다. 이러한 범위에는 모든 Google Cloud 고객이 사용하는 고객 할당 IP 범위가 포함되며 자체 프로젝트나 조직으로 제한되지 않습니다. |
| 퍼블릭 클라우드 - Google 서비스 ( iplist-public-clouds-google-services) |
Google Cloud, Google Workspace, 지도, YouTube를 비롯한 모든 Google 서비스에 대한 API 및 웹 액세스에 사용되는 IP 주소 범위와 일치합니다. 이 목록에는 Google 소유 서비스 인프라(예: Google Public DNS)가 포함되며, Google Cloud 목록에 있는 고객 할당 IP와는 다른 Google 공개 IP 범위의 하위 집합을 나타냅니다. |
| VPN 제공업체 ( iplist-vpn-providers) |
신뢰도가 낮은 VPN 제공업체에 속하는 IP 주소와 일치 |
| 익명 프록시 ( iplist-anon-proxies) |
개방된 익명 프록시에 속하는 IP 주소와 일치 |
| 암호화폐 채굴 사이트 ( iplist-crypto-miners) |
암호화폐 채굴 사이트에 속하는 IP 주소와 일치 |
다른 방화벽 정책 규칙 필터와 함께 Google Threat Intelligence 사용
Google Threat Intelligence로 방화벽 정책 규칙을 정의하려면 다음 가이드라인을 따르세요.
이그레스 규칙의 경우 하나 이상의 대상 Google Threat Intelligence 목록을 사용하여 대상을 지정합니다.
인그레스 규칙의 경우 하나 이상의 소스 Google Threat Intelligence 목록을 사용하여 소스를 지정합니다.
계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 Google Threat Intelligence 목록을 구성할 수 있습니다.
이 목록을 다른 소스 또는 대상 규칙 필터 구성요소와 함께 사용할 수 있습니다.
Google 위협 인텔리전스 목록이 인그레스 규칙의 다른 소스 필터와 작동하는 방식에 대한 자세한 내용은 계층식 방화벽 정책의 인그레스 규칙 소스 및 네트워크 방화벽 정책의 인그레스 규칙 소스를 참고하세요.
Google 위협 인텔리전스 목록이 이그레스 규칙의 다른 대상 필터와 작동하는 방식에 대한 자세한 내용은 이그레스 규칙의 대상을 참고하세요.
방화벽 로깅은 규칙 수준에서 수행됩니다. 방화벽 규칙의 효과를 쉽게 디버깅하고 분석하려면 단일 방화벽 규칙에 여러 Google Threat Intelligence 목록을 포함하지 마세요.
Google Threat Intelligence 목록을 방화벽 정책 규칙에 여러 개 추가할 수 있습니다. 규칙에 포함된 각 목록 이름은 해당 목록에 포함된 IP 주소 또는 IP 주소 범위 수와 관계없이 하나의 속성으로 계산됩니다. 예를 들어 방화벽 정책 규칙에
iplist-tor-exit-nodes,iplist-known-malicious-ips,iplist-search-engines-crawlers목록 이름을 포함하면 방화벽 정책당 규칙 속성 수가 3개 증가합니다. 규칙 속성 수에 대한 자세한 내용은 규칙 속성 수 세부정보를 참고하세요.
Google Threat Intelligence 목록에 대한 예외 만들기
Google Threat Intelligence 목록에 적용되는 규칙이 있는 경우 다음 기법을 사용하여 Google Threat Intelligence 목록 내 특정 IP 주소에 적용할 수 있는 예외 규칙을 만들 수 있습니다.
선택적 허용 방화벽 규칙: Google Threat Intelligence 목록으로 송수신되는 패킷을 거부하는 인그레스 또는 이그레스 방화벽 규칙이 있다고 가정해 보겠습니다. 해당 Google Threat Intelligence 목록 내에서 선택한 IP 주소로 송수신되는 패킷을 허용하려면 예외 IP 주소를 소스 또는 대상으로 지정하는 별도의 우선순위가 더 높은 인그레스 또는 이그레스 허용 방화벽 규칙을 만듭니다.
선택적 거부 방화벽 규칙: Google Threat Intelligence 목록으로 송수신되는 패킷을 허용하는 인그레스 또는 이그레스 방화벽 규칙이 있다고 가정해 보겠습니다. 해당 Google Threat Intelligence 목록 내에서 선택한 IP 주소로 송수신되는 패킷을 거부하려면 예외 IP 주소를 소스 또는 대상으로 지정하는 우선순위가 더 높은 인그레스 또는 이그레스 거부 방화벽 규칙을 만듭니다.