리전 네트워크 방화벽 정책 및 규칙 사용

이 페이지에서는 사용자가 리전 네트워크 방화벽 정책 개요에 설명된 개념에 익숙하다고 가정합니다.

방화벽 정책 작업

이 섹션에서는 리전 네트워크 방화벽 정책을 만들고, 연결하고, 관리하는 방법을 설명합니다.

리전 네트워크 방화벽 정책 만들기

Google Cloud 콘솔을 사용하여 리전 네트워크 방화벽 정책을 만들 때 생성 중에 정책을 리전 및 Virtual Private Cloud (VPC) 네트워크와 연결할 수 있습니다. Google Cloud CLI를 사용하여 정책을 만드는 경우 정책을 만든 후 정책을 리전 및 네트워크와 연결해야 합니다.

리전 네트워크 방화벽 정책이 연결된 VPC 네트워크는 리전 네트워크 방화벽 정책과 동일한 프로젝트에 있어야 합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 조직 내의 프로젝트를 선택합니다.

  3. 방화벽 정책 만들기를 클릭합니다.

  4. 정책 이름 필드에 정책 이름을 입력합니다.

  5. 배포 범위에서 리전을 선택합니다. 이 방화벽 정책을 만들 리전을 선택합니다.

  6. 정책에 대한 규칙을 만들려면 계속을 클릭합니다.

  7. 규칙 추가 섹션에서 방화벽 규칙 만들기를 클릭합니다.

    자세한 내용은 규칙 만들기를 참고하세요.

  8. 정책을 네트워크와 연결하려면 계속을 클릭합니다.

  9. 네트워크와 정책 연결 섹션에서 연결을 클릭합니다.

    자세한 내용은 정책을 네트워크와 연결을 참고하세요.

  10. 만들기를 클릭합니다.

gcloud 

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

다음을 바꿉니다.

  • NETWORK_FIREWALL_POLICY_NAME: 정책 이름
  • DESCRIPTION: 정책에 대한 설명
  • REGION_NAME: 정책의 리전

정책을 네트워크에 연결

리전 네트워크 방화벽 정책을 VPC 네트워크의 리전과 연결하고 정책의 규칙을 해당 네트워크 리전에 적용할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 정책을 클릭합니다.

  4. 연결 탭을 클릭합니다.

  5. 연결 추가를 클릭합니다.

  6. 프로젝트에 있는 네트워크를 선택합니다.

  7. 연결을 클릭합니다.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy-region=REGION_NAME

다음을 바꿉니다.

  • POLICY_NAME: 정책의 닉네임 또는 시스템 생성 이름입니다.
  • NETWORK_NAME: 연결된 네트워크의 이름입니다.
  • ASSOCIATION_NAME: 연결의 선택적 이름입니다. 지정하지 않으면 이름이 network-NETWORK_NAME로 설정됩니다.
  • REGION_NAME: 정책의 리전입니다.

연결 삭제

네트워크에서 방화벽 정책 시행을 중지하려면 연결을 삭제합니다.

그러나 한 방화벽 정책을 다른 방화벽 정책으로 교체하려는 경우 기존 연결을 먼저 삭제할 필요는 없습니다. 연결을 삭제하면 일정 기간 동안 어떤 정책도 시행되지 않게 됩니다. 대신 새 정책을 연결할 때 기존 정책을 바꿉니다.

리전 네트워크 방화벽 정책과 VPC 네트워크의 리전 간 연결을 삭제하려면 이 섹션에 설명된 단계를 따르세요. 리전 네트워크 방화벽 정책의 규칙은 연결이 삭제된 후 새 연결에 적용되지 않습니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 프로젝트 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 연결 탭을 클릭합니다.

  5. 삭제하려는 연결을 선택합니다.

  6. 연결 삭제를 클릭합니다.

gcloud 

gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region REGION_NAME

리전 네트워크 방화벽 정책 설명

정책 규칙 및 연결된 규칙 속성을 비롯한 리전 네트워크 방화벽 정책에 관한 세부정보를 볼 수 있습니다. 이러한 모든 규칙 속성은 규칙 속성 할당량의 일부로 계산됩니다. 자세한 내용은 방화벽 정책별 표의 '리전 네트워크 방화벽 정책별 규칙 속성'을 참고하세요. 또한 기존 VPC 네트워크 연결의 우선순위를 볼 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 리전 네트워크 방화벽 정책이 포함된 프로젝트를 선택합니다.

  3. 정책을 클릭합니다.

gcloud 

gcloud compute network-firewall-policies describe POLICY_NAME \
    --region=REGION_NAME

리전 네트워크 방화벽 정책 설명 업데이트

업데이트할 수 있는 유일한 정책 필드는 설명 필드입니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 리전 네트워크 방화벽 정책이 포함된 프로젝트를 선택합니다.

  3. 정책을 클릭합니다.

  4. 수정을 클릭합니다.

  5. 설명 필드에서 설명을 수정합니다.

  6. 저장을 클릭합니다.

gcloud 

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --region=REGION_NAME

리전 네트워크 방화벽 정책 나열

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

    네트워크 방화벽 정책 섹션에 프로젝트에서 사용할 수 있는 정책이 표시됩니다.

gcloud 

gcloud compute network-firewall-policies list \
    --regions=LIST_OF_REGIONS

리전 네트워크 방화벽 정책 삭제

리전 네트워크 방화벽 정책을 삭제하려면 먼저 모든 연결을 삭제해야 합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 삭제할 정책을 클릭합니다.

  4. 연결 탭을 클릭합니다.

  5. 모든 연결을 선택합니다.

  6. 연결 삭제를 클릭합니다.

  7. 연결을 모두 삭제한 후 삭제를 클릭합니다.

gcloud

다음 명령어를 사용하여 정책을 삭제합니다.

gcloud compute network-firewall-policies delete POLICY_NAME \
    --region=REGION_NAME

방화벽 정책 규칙 태스크

이 섹션에서는 리전 네트워크 방화벽 정책 규칙을 만들고 관리하는 방법을 설명합니다.

규칙 만들기

리전 네트워크 방화벽 정책의 각 규칙은 고유한 우선순위가 있는 인그레스 규칙 또는 이그레스 규칙입니다. 유효한 소스 조합 및 대상 조합을 비롯한 규칙의 기타 매개변수에 대한 자세한 내용은 방화벽 정책 규칙을 참고하세요.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 리전 정책의 이름을 클릭합니다.

  4. 방화벽 규칙에서 방화벽 규칙 만들기를 클릭합니다.

  5. 규칙 필드를 채웁니다.

    1. 우선순위: 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0는 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다(예: 100, 200, 300).
    2. 로그 컬렉션을 사용 또는 사용 중지로 설정합니다.
    3. 트래픽 방향에서 인그레스 또는 이그레스를 선택합니다.
    4. 일치 시 작업에서 규칙과 일치하는 연결을 허용(허용) 또는 거부(거부)할지, 또는 연결 평가를 계층 구조의 다음 하위 방화벽 규칙으로 전달(다음으로 이동)할지 지정합니다.

    5. 규칙의 타겟을 지정합니다.

      • 네트워크의 모든 인스턴스에 규칙을 적용하려면 모두에 적용을 선택합니다.
      • 연결된 서비스 계정별로 선택한 인스턴스에 규칙을 적용하려면 서비스 계정을 선택하고 서비스 계정 범위에서 서비스 계정이 현재 프로젝트에 있는지 아니면 다른 프로젝트에 있는지 표시한 다음 타겟 서비스 계정 필드에서 서비스 계정 이름을 선택하거나 입력합니다.

      • 보안 태그별로 선택한 인스턴스에 규칙을 적용하려면 보안 태그를 선택합니다.

        • 태그 범위 선택을 클릭하고 보안 태그 키-값 쌍을 만들려는 조직 또는 프로젝트를 선택합니다. 규칙을 적용할 키-값 쌍을 입력합니다.
        • 키-값 쌍을 더 추가하려면 태그 추가를 클릭합니다.

    6. 인그레스 규칙의 경우 소스 네트워크 유형을 지정합니다.

      • 모든 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 모든 네트워크 유형을 선택합니다.
      • 특정 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 특정 네트워크 유형을 선택합니다.
        • 인터넷 (INTERNET) 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 인터넷을 선택합니다.
        • 인터넷이 아닌 (NON-INTERNET) 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 인터넷 아님을 선택합니다.
        • VPC 내 (INTRA_VPC) 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 VPC 내를 선택합니다.
        • VPC 네트워크(VPC_NETWORKS) 유형에 속하는 수신 트래픽을 필터링하려면 VPC 네트워크를 선택한 다음 다음 버튼을 사용하여 하나 이상의 네트워크를 지정합니다.
          • 현재 프로젝트 선택: 현재 프로젝트에서 하나 이상의 네트워크를 추가할 수 있습니다.
          • 네트워크 수동 입력: 프로젝트와 네트워크를 수동으로 입력할 수 있습니다.
          • 프로젝트 선택: 네트워크를 선택할 수 있는 프로젝트를 선택할 수 있습니다. 네트워크 유형에 대한 자세한 내용은 네트워크 유형을 참고하세요.

    7. 이그레스 규칙의 경우 대상 네트워크 유형을 지정합니다.

      • 모든 네트워크 유형에 속하는 아웃바운드 트래픽을 필터링하려면 모든 네트워크 유형을 선택합니다.
      • 특정 네트워크 유형에 속하는 아웃바운드 트래픽을 필터링하려면 특정 네트워크 유형을 선택합니다.
        • 인터넷 (INTERNET) 네트워크 유형에 속하는 송신 트래픽을 필터링하려면 인터넷을 선택합니다.
        • 인터넷이 아닌 (NON-INTERNET) 네트워크 유형에 속하는 아웃바운드 트래픽을 필터링하려면 인터넷이 아닌을 선택합니다. 네트워크 유형에 대한 자세한 내용은 네트워크 유형을 참고하세요.

    8. 인그레스 규칙의 경우 소스 필터를 지정합니다.

      • 소스 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에 0.0.0.0/0을 사용합니다.
      • 소스 IPv6 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv6를 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에 ::/0을 사용합니다.

      • 보안 태그로 소스를 제한하려면 보안 태그 섹션에서 태그 범위 선택을 클릭합니다.

        • 태그를 만들 조직 또는 프로젝트를 선택합니다. 규칙을 적용할 키-값 쌍을 입력합니다.
        • 키-값 쌍을 더 추가하려면 태그 추가를 클릭합니다.

    9. 이그레스 규칙의 경우 대상 필터를 지정합니다.

      • 대상 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에 0.0.0.0/0을 사용합니다.
      • 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6를 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에 ::/0을 사용합니다.

    10. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 FQDN을 지정합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 FQDN을 선택합니다. 도메인 이름 객체에 대한 자세한 내용은 도메인 이름 객체를 참조하세요.

    11. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 위치정보를 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 위치정보를 선택합니다. 위치정보 객체에 대한 자세한 내용은 위치정보 객체를 참조하세요.

    12. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 주소 그룹을 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙을 적용할 대상 주소 그룹을 선택합니다. 주소 그룹에 대한 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.

    13. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 Google Cloud 위협 인텔리전스 목록을 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 Google Cloud 위협 인텔리전스 목록을 선택합니다. Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.

    14. 선택사항: 인그레스 규칙에서 대상 필터를 지정합니다.

      • 대상 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택하고 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에 0.0.0.0/0을 사용합니다.
      • 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6 범위를 선택하고 대상 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에 ::/0을 사용합니다. 자세한 내용은 인그레스 규칙의 대상을 참조하세요.

    15. 선택사항: 이그레스 규칙의 경우 소스 필터를 지정합니다.

      • 소스 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에 0.0.0.0/0을 사용합니다.
      • 소스 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6를 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에 ::/0을 사용합니다. 자세한 내용은 이그레스 규칙의 소스를 참조하세요.

    16. 프로토콜 및 포트에서 규칙이 모든 프로토콜 및 모든 대상 포트에 적용되도록 지정하거나 규칙을 적용할 특정 프로토콜 및 대상 포트를 지정합니다.

    17. 만들기를 클릭합니다.

  6. 방화벽 규칙 만들기를 클릭하여 다른 규칙을 추가합니다.

gcloud

인그레스 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

다음을 바꿉니다.

  • PRIORITY: 정책 내 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다 (예: 100, 200, 300).
  • POLICY_NAME: 새 규칙이 포함된 리전 네트워크 방화벽 정책의 이름입니다.
  • POLICY_REGION: 새 규칙이 포함된 정책의 리전입니다.
  • DESCRIPTION: 새 규칙에 대한 설명(선택사항)
  • ACTION: 다음 작업 중 하나를 지정합니다.
    • allow: 규칙과 일치하는 연결을 허용합니다.
    • deny: 규칙과 일치하는 연결을 거부합니다.
    • goto_next: 방화벽 규칙 평가 프로세스의 다음 단계로 계속 진행합니다.
  • --enable-logging--no-enable-logging 매개변수는 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.
  • --disabled--no-disabled 매개변수는 규칙이 사용 중지(적용되지 않음)인지 사용 설정 (적용됨)인지를 제어합니다.
  • 대상을 지정합니다.
    • TARGET_SECURE_TAGS: 쉼표로 구분된 보안 태그 목록입니다.
    • TARGET_SERVICE_ACCOUNTS: 서비스 계정의 쉼표로 구분된 목록입니다.
    • --target-secure-tags--target-service-accounts 파라미터를 모두 생략하면 규칙이 가장 광범위한 타겟에 적용됩니다.
  • LAYER_4_CONFIGS: 레이어 4 구성의 쉼표로 구분된 목록입니다. 각 레이어 4 구성은 다음 중 하나일 수 있습니다.
    • 대상 포트가 없는 IP 프로토콜 이름 (tcp) 또는 IANA IP 프로토콜 번호 (17)입니다.
    • 콜론 (tcp:80)으로 구분된 IP 프로토콜 이름과 대상 포트입니다.
    • IP 프로토콜 이름과 대상 포트 범위가 콜론으로 구분되고 대시를 사용하여 시작 및 종료 대상 포트가 구분됩니다(tcp:5000-6000). 자세한 내용은 프로토콜 및 포트를 참고하세요.
  • 인그레스 규칙의 소스를 지정합니다.
    • SRC_IP_RANGES: CIDR 형식의 쉼표로 구분된 IP 주소 범위 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
    • SRC_ADDRESS_GROUPS: 고유 URL 식별자로 지정된 주소 그룹의 쉼표로 구분된 목록입니다. 목록의 주소 그룹에는 모든 IPv4 주소 또는 모든 IPv6 주소가 포함되어야 하며, 두 주소를 조합할 수 없습니다.
    • SRC_DOMAIN_NAMES: 도메인 이름 형식에 지정된 FQDN 객체의 쉼표로 구분된 목록입니다.
    • SRC_SECURE_TAGS: 쉼표로 구분된 태그 목록입니다. --src-network-typeINTERNET인 경우 --src-secure-tags 파라미터를 사용할 수 없습니다.
    • SRC_COUNTRY_CODES: 쉼표로 구분된 두 글자 국가 코드 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요. --src-network-typeNON_INTERNET, VPC_NETWORK 또는 INTRA_VPC인 경우 --src-region-codes 매개변수를 사용할 수 없습니다.
    • SRC_THREAT_LIST_NAMES: 쉼표로 구분된 Google Threat Intelligence 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google 위협 인텔리전스를 참고하세요. --src-network-typeNON_INTERNET, VPC_NETWORK 또는 INTRA_VPC인 경우 --src-threat-intelligence 매개변수를 사용할 수 없습니다.
    • SRC_NETWORK_TYPE: 지원되는 다른 대상 매개변수와 함께 사용하여 특정 대상 조합을 생성할 소스 네트워크 유형을 정의합니다. 유효한 값은 INTERNET, NON_INTERNET, VPC_NETWORK 또는 INTRA_VPC입니다. 자세한 내용은 네트워크 유형을 참고하세요.
    • SRC_VPC_NETWORK: URL 식별자로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다. --src-network-typeVPC_NETWORKS인 경우에만 이 매개변수를 지정합니다.
  • 선택적으로 인그레스 규칙의 대상을 지정합니다.
    • DEST_IP_RANGES: CIDR 형식의 IP 주소 범위를 쉼표로 구분한 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.

이그레스 규칙을 만들려면 다음 명령어를 사용합니다.

gcloud compute network-firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=POLICY_REGION \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

다음을 바꿉니다.

  • PRIORITY: 정책 내 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다 (예: 100, 200, 300).
  • POLICY_NAME: 새 규칙이 포함된 리전 네트워크 방화벽 정책의 이름입니다.
  • POLICY_REGION: 새 규칙이 포함된 정책의 리전입니다.
  • DESCRIPTION: 새 규칙에 대한 설명(선택사항)
  • ACTION: 다음 작업 중 하나를 지정합니다.
    • allow: 규칙과 일치하는 연결을 허용합니다.
    • deny: 규칙과 일치하는 연결을 거부합니다.
    • goto_next: 방화벽 규칙 평가 프로세스의 다음 단계로 계속 진행합니다.
  • --enable-logging--no-enable-logging 매개변수는 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.
  • --disabled--no-disabled 매개변수는 규칙이 사용 중지(적용되지 않음)인지 사용 설정 (적용됨)인지를 제어합니다.
  • 대상을 지정합니다.
    • TARGET_SECURE_TAGS: 쉼표로 구분된 보안 태그 목록입니다.
    • TARGET_SERVICE_ACCOUNTS: 서비스 계정의 쉼표로 구분된 목록입니다.
    • --target-secure-tags--target-service-accounts 파라미터를 모두 생략하면 규칙이 가장 광범위한 타겟에 적용됩니다.
  • LAYER_4_CONFIGS: 레이어 4 구성의 쉼표로 구분된 목록입니다. 각 레이어 4 구성은 다음 중 하나일 수 있습니다.
    • 대상 포트가 없는 IP 프로토콜 이름 (tcp) 또는 IANA IP 프로토콜 번호 (17)입니다.
    • 콜론 (tcp:80)으로 구분된 IP 프로토콜 이름과 대상 포트입니다.
    • IP 프로토콜 이름과 대상 포트 범위가 콜론으로 구분되고 대시를 사용하여 시작 및 종료 대상 포트가 구분됩니다(tcp:5000-6000). 자세한 내용은 프로토콜 및 포트를 참고하세요.
  • 원하는 경우 이그레스 규칙의 소스를 지정합니다.
    • SRC_IP_RANGES: CIDR 형식의 IP 주소 범위를 쉼표로 구분한 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
  • 이그레스 규칙의 대상을 지정합니다.
    • DEST_IP_RANGES: CIDR 형식의 IP 주소 범위를 쉼표로 구분한 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
    • DEST_ADDRESS_GROUPS: 고유 URL 식별자로 지정된 주소 그룹의 쉼표로 구분된 목록입니다.
    • DEST_DOMAIN_NAMES: 도메인 이름 형식에 지정된 FQDN 객체의 쉼표로 구분된 목록입니다.
    • DEST_COUNTRY_CODES: 쉼표로 구분된 두 글자 국가 코드 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요.
    • DEST_THREAT_LIST_NAMES: 쉼표로 구분된 Google Threat Intelligence 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참고하세요.
    • DEST_NETWORK_TYPE: 지원되는 다른 대상 파라미터와 함께 사용하여 특정 대상 조합을 생성할 대상 네트워크 유형을 정의합니다. 유효한 값은 INTERNETNON_INTERNET입니다. 자세한 내용은 네트워크 유형을 참고하세요.

규칙 업데이트

플래그 설명은 규칙 만들기를 참고하세요.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 정책을 클릭합니다.

  4. 규칙의 우선순위를 클릭합니다.

  5. 수정을 클릭합니다.

  6. 변경하려는 플래그를 수정합니다.

  7. 저장을 클릭합니다.

gcloud 

gcloud compute network-firewall-policies rules update PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME \
    [...flags you want to modify...]

규칙 설명

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 정책을 클릭합니다.

  4. 규칙의 우선순위를 클릭합니다.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

다음을 바꿉니다.

  • PRIORITY: 규칙을 고유하게 식별하는 우선순위 번호
  • POLICY_NAME: 규칙이 포함된 정책의 이름입니다.
  • REGION_NAME: 규칙이 포함된 정책의 리전

규칙 삭제

정책에서 규칙을 삭제하면 규칙의 대상에 대한 새 연결 또는 규칙의 대상으로부터의 새 연결에 더 이상 규칙이 적용되지 않습니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 정책을 클릭합니다.

  4. 삭제하려는 규칙을 선택합니다.

  5. 삭제를 클릭합니다.

gcloud 

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --firewall-policy-region=REGION_NAME

다음을 바꿉니다.

  • PRIORITY: 규칙을 고유하게 식별하는 우선순위 번호
  • POLICY_NAME: 규칙이 포함된 정책
  • REGION_NAME: 규칙이 포함된 정책의 리전

정책 간 규칙 클론

클론은 소스 정책의 규칙을 타겟 정책에 복사하여 타겟 정책의 기존 규칙을 모두 대체합니다.

콘솔

  1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

  3. 규칙을 복사하려는 정책을 클릭합니다.

  4. 화면 상단의 클론을 클릭합니다.

  5. 타겟 정책의 이름을 입력합니다.

  6. 새 정책을 즉시 연결하려면 계속 > 연결을 클릭합니다.

  7. VPC 네트워크와 정책 연결 페이지에서 네트워크를 선택하고 연결을 클릭합니다.

  8. 계속을 클릭합니다.

  9. 복제를 클릭합니다.

gcloud

gcloud compute network-firewall-policies clone-rules TARGET_POLICY \
    --region=TARGET_POLICY_REGION \
    --source-firewall-policy SOURCE_POLICY

다음을 바꿉니다.

  • TARGET_POLICY: 대상 정책의 이름
  • TARGET_POLICY_REGION: 대상 정책의 리전
  • SOURCE_POLICY: 소스 정책의 URL

네트워크의 리전에 유효한 방화벽 규칙 가져오기

VPC 네트워크의 특정 리전에 적용되는 모든 계층식 방화벽 정책 규칙, VPC 방화벽 규칙, 전역 네트워크 방화벽 정책 규칙, 리전별 네트워크 방화벽 정책 규칙을 볼 수 있습니다.

gcloud 

gcloud compute network-firewall-policies get-effective-firewalls \
    --region=REGION_NAME \
    --network=NETWORK_NAME

다음을 바꿉니다.

  • REGION_NAME: 유효한 규칙을 보려는 리전
  • NETWORK_NAME: 유효한 규칙을 보려는 네트워크