이 문서에서는 Cloud Next Generation Firewall에서 URL 필터링 서비스를 사용할 때의 권장사항을 설명합니다. 이러한 권장사항을 사용하여 의도치 않은 필터링 작업을 방지하는 데 도움이 되는 효과적이고 유지보수가 가능한 방화벽 정책을 만드세요. 이 문서에서는 사용자가 URL 필터링 서비스 개념에 익숙하다고 가정합니다.
권장사항
다음 표에는 URL 필터링 서비스를 사용할 때의 권장사항이 나와 있습니다.
| 주제 또는 사용 사례 | Cloud NGFW 기능 또는 규칙 구성요소 | 설명 |
|---|---|---|
| 프로토콜 지원 | 프로토콜 및 포트 | URL 필터링을 적용하는 방화벽 정책 규칙에서 프로토콜 TCP과 포트 80 및 443를 지정합니다.자세한 내용은 대상 프로토콜 및 포트 지정을 참조하세요. |
| 방화벽 규칙 평가 | 방화벽 규칙 우선순위 | 방화벽 정책에서 URL 필터링을 적용하는 규칙을 가장 낮은 우선순위에 배치합니다. 자세한 내용은 URL 필터링 규칙을 가장 낮은 우선순위에 배치를 참조하세요. |
| 트래픽 세분화 | 네트워크 컨텍스트 | 네트워크 컨텍스트를 사용하여 동서 (인터넷 연결되지 않음) 트래픽과 인터넷 연결 트래픽에 대해 별도의 URL 필터링 방화벽 정책 규칙을 만듭니다. 자세한 내용은 네트워크 컨텍스트를 사용하여 트래픽 분리를 참조하세요. |
| 정책 예외 | 정규화된 도메인 이름 (FQDN) 객체 | 특정 소스가 웹사이트에 액세스할 수 있도록 허용하는 핀홀 예외를 만들려면 방화벽 정책 규칙에서 대상 FQDN 객체와 URL 필터링 보안 프로필을 사용합니다. 자세한 내용은 FQDN을 사용하여 핀홀 예외 추가를 참조하세요. |
| 선택적 검사 | 대상 도메인을 기반으로 트래픽을 선택적으로 검사하려면 URL 필터링 보안 프로필 대신 FQDN
객체를 사용합니다. 자세한 내용은 FQDN을 사용하여 트래픽 선택적 검사를 참조하세요. |
|
| 정책 설계 | 임시 요구사항을 해결하려면 단일 리소스를 소스로 사용하는 URL 필터링 방화벽 정책 규칙을 만들지 마세요. 자세한 내용은 단일 리소스를 기반으로 규칙 만들지 않기를 참조하세요. |
|
| 프로토콜 지원 | HTTP가 아닌 프로토콜에 FQDN 기반 필터링을 사용합니다. | |
| 정책 계층 구조 | 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책 | 계층식 방화벽 정책이 아닌 전역 또는 리전 네트워크 방화벽 정책에서 URL 필터링을 사용합니다. 자세한 내용은 계층식 방화벽 정책에서 URL 필터링 사용하지 않기를 참조하세요. |
| 확장성 | URL 필터링 보안 프로필 | URL 필터링 보안 프로필의 도메인 수에 대한 지원되는 한도를 유지하려면 특정 기준에 따라 도메인을 그룹화하는 별도의 보안 프로필을 만듭니다. 자세한 내용은 확장을 위한 별도의 보안 프로필 만들기를 참조하세요. |
대상 프로토콜 및 포트 지정
Cloud NGFW는 URL
필터링을 적용하는 방화벽 정책 규칙과 일치하는 HTTP가 아닌 트래픽 및 HTTPS가 아닌 트래픽에 URL
필터링 보안 프로필의 기본 allow 또는 deny 작업을 적용합니다. 이러한 방화벽 정책 규칙에서 프로토콜 TCP와 포트 80 및 443을 지정합니다.
규칙에서 프로토콜과 포트를 지정하면 HTTP가 아닌 트래픽 및 HTTPS가 아닌 트래픽과 일치하지 않으므로 기본 작업이 의도치 않게 이 트래픽을 허용하거나 거부하는 것을 방지할 수 있습니다.
URL 필터링 규칙을 가장 낮은 우선순위에 배치
레이어 7 검사를 사용하지 않는 방화벽 정책 규칙이 먼저 평가되도록 하려면 URL 필터링 보안 프로필을 적용하는 규칙을 방화벽 정책에서 가장 낮은 우선순위에 배치합니다. 이 접근 방식을 사용하면 URL 필터링 보안 프로필의 기본 작업이 실수로 트래픽을 허용하거나 거부하는 것을 방지할 수 있습니다.
예를 들어 가상 머신 (VM) 인스턴스가 www.example.com과 통신하도록 허용하려면 이 URL을 허용하는 URL 필터링 보안 프로필을 만듭니다.
그런 다음 이
보안 프로필이 있는
보안 프로필 그룹을 적용하는 500과 같은 낮은 우선순위의 규칙을 추가합니다.
| 우선순위 | 방향 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|
| 150 | 이그레스 | TCP | 전체 | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | 허용 |
| 200 | 인그레스 | TCP | 전체 | 임의 | 10.0.0.0/8 | 80, 443 | 허용 |
| 300 | 이그레스 | TCP | 전체 | 임의 | 199.36.153.8/30 | 80, 443 | 허용 |
| 500 | 이그레스 | TCP | 전체 | 임의 | 임의 | 80, 443 | URL www.example.com을 허용하는 URL 필터링 보안 프로필이 있는 보안 프로필 그룹을 적용합니다. |
네트워크 컨텍스트를 사용하여 트래픽 분리
보안 프로필의 기본 작업은 정의된 URL 필터와 일치하지 않는 트래픽을 허용하거나 거부할 수 있습니다. 의도치 않은 기본 작업을 방지하려면 네트워크 컨텍스트를 사용하여 동서 (인터넷 연결되지 않음) 트래픽과 인터넷 연결 트래픽에 대해 별도의 URL 필터링 방화벽 정책 규칙을 만듭니다. 네트워크 컨텍스트를 사용하면 규칙 일치 기준이 더 세분화되므로 기본 작업이 실수로 트래픽을 허용하거나 거부하는 것을 방지할 수 있습니다.
다음 예시에서 인터넷 연결되지 않은 네트워크 컨텍스트는 우선순위가 500인 규칙이 우선순위가 600인 규칙이 별도로 관리하는 인터넷 연결 트래픽과 일치하고 실수로 허용하거나 거부하는 것을 방지합니다.
| 우선순위 | 방향 | 네트워크 컨텍스트 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|---|
| 500 | 이그레스 | 인터넷 외 | TCP | 전체 | 임의 | 임의 | 80, 443 | URL 필터링 보안 프로필 1이 있는 보안 프로필 그룹을 적용합니다. |
| 600 | 이그레스 | 인터넷 | TCP | 전체 | 임의 | 임의 | 80, 443 | URL 필터링 보안 프로필 2가 있는 보안 프로필 그룹을 적용합니다. |
FQDN 객체 사용
대상 FQDN 객체를 URL 필터링 보안 프로필과 함께 사용하여 방화벽 정책 규칙의 의도치 않은 트래픽 일치를 방지하고 보안 프로필의 기본 작업이 의도치 않은 트래픽을 허용하거나 거부하는 것을 방지합니다.
FQDN을 사용하여 핀홀 예외 추가
방화벽의 핀홀 예외를 사용하면 특정 유형의 트래픽이 닫힌 보안 경계를 통과할 수 있습니다. 특정 소스가 웹사이트에 액세스할 수 있도록 허용하는 예외를 만들려면 방화벽 정책 규칙에서 대상 FQDN 객체와 URL 필터링 보안 프로필을 사용합니다.
핀홀 예외 규칙은 URL 필터링을 적용하기 전에 소스에서 FQDN IP로의 트래픽과 일치합니다. 소스의 다른 트래픽은 일치하지 않으므로 보안 프로필의 기본 작업에서 관련 없는 트래픽을 방지합니다.
다음 예시에서 규칙은 지정된 IP 범위의 트래픽을 example.com의 IP 주소와 일치시킨 다음 일치하는 트래픽에 URL 필터링을 적용합니다.
| 우선순위 | 방향 | 네트워크 컨텍스트 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|---|
| 100 | 이그레스 | 인터넷 | TCP | 전체 | 192.168.1.0/24 | FQDN = example.com |
80, 443 | URL www.example.com을 허용하는 URL 필터링 보안 프로필이 있는 보안 프로필 그룹을 적용합니다. |
FQDN을 사용하여 트래픽 선택적 검사
대상 도메인을 기반으로 트래픽을 선택적으로 검사하려면 URL 필터링 보안 프로필 대신 FQDN 객체를 사용합니다.
URL 필터링 보안 프로필은 트래픽 선택적 검사를 지원하지 않습니다. 트래픽 선택에 URL 필터링 보안 프로필을 사용하는 경우 프로필의 기본 작업이 의도치 않게 트래픽을 허용하거나 거부할 수 있습니다.
예를 들어 examplepetstore.com으로의 트래픽에 영향을 주지 않고 example.com으로의 트래픽에서 위협을 검사하려면 우선순위가 100 및 200인 별도의 방화벽 정책 규칙을 만듭니다. 각 규칙에 대해 대상 FQDN 객체를 사용하고 example.com 대상이 있는 규칙에만 위협 방지 보안 프로필을 적용합니다. 이 접근 방식을 사용하면 examplepetstore.com으로의 트래픽이 우선순위가 100인 규칙과 일치하는 것을 방지할 수 있습니다.
다음 표에는 잘못된 구성이 나와 있습니다.
| 우선순위 | 방향 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|
| 100 | 이그레스 | TCP | 전체 | 임의 | 임의 | 80, 443 | URL example.com을 허용하는 URL 필터링 보안 프로필 1과 URL example.com으로의 트래픽을 검사하는 위협 방지 보안 프로필이 있는 보안 프로필 그룹을 적용합니다. |
| 200 | 이그레스 | TCP | 전체 | 임의 | 임의 | 80, 443 | URL examplepetstore.com을 허용하는 URL 필터링 보안 프로필 2가 있는 보안 프로필 그룹을 적용합니다. |
다음 표에는 올바른 구성이 나와 있습니다.
| 우선순위 | 방향 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|
| 100 | 이그레스 | TCP | 전체 | 임의 | FQDN = example.com |
80, 443 | URL example.com으로의 트래픽을 검사하는 위협 방지 보안 프로필이 있는 보안 프로필 그룹을 적용합니다. |
| 200 | 이그레스 | TCP | 전체 | 임의 | FQDN = examplepetstore.com |
80, 443 | URL examplepetstore.com을 허용하는 URL 필터링 보안 프로필이 있는 보안 프로필 그룹을 적용합니다. |
단일 리소스를 기반으로 규칙 만들지 않기
임시 요구사항을 해결하려면 단일 리소스를 소스로 사용하는 URL 필터링이 있는 방화벽 정책 규칙을 만들지 마세요.
이러한 규칙을 유지하면 URL 필터링 보안 프로필의 기본 작업이 의도치 않은 트래픽을 허용하거나 거부할 수 있습니다. 이러한 규칙을 즉시 삭제하지 않으면 시간이 지남에 따라 정책이 확산될 수도 있습니다.
다음 예시에서 우선순위가 높은 100인 규칙은 192.168.1.1에서 examplepetstore.com으로의 트래픽과 일치하고 허용합니다. 이 평가는 트래픽이 해당 트래픽을 차단하도록 구성된 우선순위가 101인 규칙에 도달하기 전에 발생합니다.
| 우선순위 | 방향 | 네트워크 컨텍스트 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|---|
| 100 | 이그레스 | 인터넷 | TCP | 전체 | 192.168.1.1/32 | 임의 | 80, 443 | URL example.com을 차단하는 URL 필터링 보안 프로필 1이 있는 보안 프로필 그룹을 적용합니다. |
| 101 | 이그레스 | 인터넷 외 | TCP | 전체 | 192.168.1.0/24 | 임의 | 80, 443 | URL examplepetstore.com을 차단하고 URL example.org를 허용하는 URL 필터링 보안 프로필 2가 있는 보안 프로필 그룹을 적용합니다. |
하지만 이러한 규칙을 유지해야 하는 경우 대상 FQDN 객체를 사용합니다.
예를 들어 192.168.1.1에서 examplepetstore.com으로의 트래픽이 일치하지 않도록 하려면 우선순위가 100인 규칙에 FQDN 객체 example.com을 추가합니다.
| 우선순위 | 방향 | 네트워크 컨텍스트 | 프로토콜 | 대상 | 소스 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|---|
| 100 | 이그레스 | 인터넷 | TCP | 전체 | 192.168.1.1/32 | FQDN = example.com |
80, 443 | URL example.com을 차단하는 URL 필터링 보안 프로필 1이 있는 보안 프로필 그룹을 적용합니다. |
| 101 | 이그레스 | 인터넷 외 | TCP | 전체 | 192.168.1.0/24 | 임의 | 80, 443 | URL examplepetstore.com을 차단하고 URL example.org를 허용하는 URL 필터링 보안 프로필 2가 있는 보안 프로필 그룹을 적용합니다. |
HTTP가 아닌 프로토콜에 FQDN 기반 필터링 사용
RDP 또는 SSH와 같은 HTTP가 아닌 프로토콜 및 HTTPS가 아닌 프로토콜에 FQDN 기반 필터링을 사용합니다. URL 필터링은 HTTP 또는 HTTPS 트래픽에서만 작동합니다.
계층식 방화벽 정책에서 URL 필터링 사용하지 않기
의도치 않은 트래픽 일치를 방지하려면 계층식 방화벽 정책에서 URL 필터링 보안 프로필을 사용하지 마세요. 대신 전역 또는 리전 네트워크 방화벽 정책에서 URL 필터링 보안 프로필을 사용합니다.
계층식 방화벽 정책 규칙에서 URL 필터링 보안 프로필을 사용하면 광범위한 대상의 트래픽이 해당 규칙과 일치할 수 있습니다. 이러한 광범위한 일치로 인해 보안 프로필의 기본 작업이 의도치 않게 트래픽을 허용하거나 거부할 수 있습니다.
확장을 위한 별도의 보안 프로필 만들기
URL 필터링 보안 프로필의 도메인 수 또는 일치자 문자열에 대한 지원되는 한도 를 유지하려면 특정 기준에 따라 도메인을 그룹화하는 별도의 보안 프로필을 만듭니다. 예를 들어 동서 (인터넷 연결되지 않음) 트래픽 및 인터넷 연결 트래픽과 같은 트래픽 유형 또는 대상 도메인의 위치 및 특성을 기반으로 도메인을 그룹화합니다.
이러한 세분화를 통해 많은 도메인을 사용할 때 최적의 성능과 관리 용이성을 보장할 수 있습니다.
예를 들어 내부 또는 Google Cloud 도메인용 프로필 하나와 공개 인터넷의 외부 도메인용 프로필 하나를 만듭니다. 내부 도메인용 별도의 프로필은 내부 트래픽 라우팅 및 보안 정책을 구분합니다. 외부 도메인용 별도의 프로필을 사용하면 위협 인텔리전스 피드 또는 더 엄격한 이그레스 제어와 같은 적절한 보안 조치를 외부 트래픽에 적용할 수 있습니다.
다음 단계
- URL 필터링 서비스
- URL 필터링 보안 프로필 만들기 및 관리
- 위협 방지 보안 프로필 만들기 및 관리
- 보안 프로필 그룹 만들기 및 관리
- 전역 네트워크 방화벽 정책 및 규칙 사용
- 리전 네트워크 방화벽 정책 및 규칙 사용