이 페이지에서는 사용자가 계층적 방화벽 정책 개요에 설명된 개념에 익숙하다고 가정합니다. 계층식 방화벽 정책 구현 예시를 보려면 계층식 방화벽 정책 예시를 참조하세요.
제한사항
- 계층식 방화벽 정책 규칙은 타겟을 정의하는 네트워크 태그 사용을 지원하지 않습니다. 대신 타겟 Virtual Private Cloud(VPC) 네트워크 또는 타겟 서비스 계정을 사용해야 합니다.
- 방화벽 정책은 폴더 및 조직 수준에서 적용될 수 있지만 VPC 네트워크 수준에서는 적용되지 않습니다. 일반 VPC 방화벽 규칙은 VPC 네트워크에서 지원됩니다.
- 폴더의 가상 머신(VM) 인스턴스는 VM 상위의 리소스 계층 전체에서 규칙을 상속할 수 있지만 하나의 방화벽 정책만 리소스(폴더 또는 조직)에 연결될 수 있습니다.
- 방화벽 규칙 로깅은
allow및deny규칙에서 지원되지만goto_next규칙에서는 지원되지 않습니다. - IPv6 홉별 프로토콜은 방화벽 규칙에서 지원되지 않습니다.
방화벽 정책 작업
이 섹션에서는 계층적 방화벽 정책을 만들고 관리하는 방법을 설명합니다.
이 섹션에 나열된 작업으로 인해 발생하는 작업의 진행 상황을 확인하려면 IAM 주 구성원에게 각 작업에 필요한 권한 또는 역할 외에 다음 권한 또는 역할이 있는지 확인하세요.
방화벽 정책 만들기
계층식 방화벽 정책을 만들 때 상위 요소를 조직 또는 조직 내 폴더로 설정할 수 있습니다. 정책을 만든 후 조직 또는 조직의 폴더와 정책을 연결할 수 있습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 조직 내의 폴더를 선택합니다.
방화벽 정책 만들기를 클릭합니다.
정책 이름 필드에 정책 이름을 입력합니다.
(선택사항) 정책에 대한 규칙을 만들려면 계속을 클릭합니다.
규칙 추가 섹션에서 방화벽 규칙 만들기를 클릭합니다.
자세한 내용은 규칙 만들기를 참고하세요.
(선택사항) 정책을 리소스와 연결하려면 계속을 클릭합니다.
리소스와 정책 연결 섹션에서 추가를 클릭합니다.
자세한 내용은 정책을 조직 또는 폴더와 연결을 참고하세요.
만들기를 클릭합니다.
gcloud
다음 명령어를 실행하여 상위 항목이 조직인 계층식 방화벽 정책을 만듭니다.
gcloud compute firewall-policies create \
--organization ORG_ID \
--short-name SHORT_NAME
다음 명령어를 실행하여 상위 항목이 조직 내 폴더인 계층식 방화벽 정책을 만듭니다.
gcloud compute firewall-policies create \
--folder FOLDER_ID \
--short-name SHORT_NAME
다음을 바꿉니다.
ORG_ID: 조직의 ID상위 항목이 조직인 정책을 만들 조직 ID를 지정합니다. 정책은 조직 또는 조직 내 폴더와 연결할 수 있습니다.
SHORT_NAME: 정책 이름Google Cloud CLI를 사용하여 만든 정책에는 시스템 생성 이름과 개발자가 제공한 닉네임, 이렇게 두 가지가 있습니다. gcloud CLI CLI를 사용하여 기존 정책을 업데이트할 때 시스템 생성 이름 또는 닉네임과 조직 ID를 제공할 수 있습니다. API를 사용하여 정책을 업데이트하는 경우 시스템 생성 이름을 제공해야 합니다.
FOLDER_ID: 폴더의 ID상위 항목이 폴더인 정책을 만들려면 폴더 ID를 지정합니다. 정책은 폴더가 포함된 조직 또는 해당 조직 내의 폴더와 연결할 수 있습니다.
정책을 조직 또는 폴더와 연결
조직의 계층식 방화벽 정책을 조직 또는 폴더와 연결하면 사용 중지된 규칙을 제외하고 각 규칙의 대상에 따라 방화벽 정책의 규칙이 연결된 조직 또는 폴더의 프로젝트에 있는 VPC 네트워크의 리소스에 적용됩니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
연결 탭을 클릭합니다.
연결 추가를 클릭합니다.
조직 루트를 선택하거나 조직 내의 폴더를 선택합니다.
추가를 클릭합니다.
gcloud
기본적으로 연결이 있는 조직 또는 폴더에 연결 삽입을 시도하면 메서드가 실패합니다. --replace-association-on-target 플래그를 지정하면 새 연결이 생성될 때 기존 연결이 삭제됩니다. 이렇게 하면 전환 중에 리소스가 정책 없이 유지되는 것을 막을 수 있습니다.
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
다음을 바꿉니다.
POLICY_NAME: 닉네임 또는 시스템에서 생성된 정책 이름ORG_ID: 조직의 IDFOLDER_ID: 정책을 폴더와 연결하는 경우 여기에서 지정하고, 정책을 조직 수준에 연결하는 경우에는 생략합니다.ASSOCIATION_NAME: 연결의 이름(선택사항). 지정하지 않으면 이름이 '조직ORG_ID' 또는 '폴더FOLDER_ID'로 설정됩니다.
리소스 간 정책 이동
정책을 이동하면 정책의 상위 항목만 변경됩니다. 정책의 상위를 변경하면 정책에서 규칙을 만들고 업데이트할 수 있는 IAM 주 구성원과 향후 연결을 만들 수 있는 IAM 주 구성원이 변경될 수 있습니다.
정책을 이동해도 기존 정책 연결이나 정책의 규칙 평가는 변경되지 않습니다.
콘솔
이 절차에는 Google Cloud CLI를 사용합니다.
gcloud
다음 명령어를 실행하여 계층식 방화벽 정책을 조직으로 이동합니다.
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID
다음 명령어를 실행하여 계층식 방화벽 정책을 조직의 폴더로 이동합니다.
gcloud compute firewall-policies move POLICY_NAME \
--folder FOLDER_ID
다음을 바꿉니다.
POLICY_NAME: 이동할 정책의 닉네임 또는 시스템 생성 이름ORG_ID: 정책이 이동되는 조직 IDFOLDER_ID: 정책이 이동된 폴더 ID
정책 설명 업데이트
업데이트할 수 있는 유일한 정책 필드는 설명 필드입니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
수정을 클릭합니다.
설명을 수정합니다.
저장을 클릭합니다.
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
정책 나열
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
조직의 경우 이 조직과 연결된 방화벽 정책 섹션에 연결된 정책이 표시됩니다. 이 조직에 있는 방화벽 정책 섹션에는 조직이 소유한 정책이 나열됩니다.
폴더의 경우 이 폴더와 연결되거나 이 폴더에 상속된 방화벽 정책 섹션에 폴더와 연결되거나 폴더에 상속된 정책이 표시됩니다. 이 폴더에 있는 방화벽 정책 섹션에는 이 폴더가 소유한 정책이 나열됩니다.
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
정책 설명
정책 규칙 및 연결된 규칙 속성을 비롯한 계층식 방화벽 정책에 관한 세부정보를 볼 수 있습니다. 이러한 모든 규칙 속성은 규칙 속성 할당량의 일부로 계산됩니다. 자세한 내용은 방화벽 정책별 표의 '계층적 방화벽 정책별 규칙 속성'을 참고하세요.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
정책 삭제
계층적 방화벽 정책을 삭제하려면 먼저 모든 연결을 삭제해야 합니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
삭제할 정책을 클릭합니다.
연결 탭을 클릭합니다.
모든 연결을 선택합니다.
연결 삭제를 클릭합니다.
연결을 모두 삭제한 후 삭제를 클릭합니다.
gcloud
다음 명령어를 사용하여 정책을 삭제합니다.
gcloud compute firewall-policies delete POLICY_NAME \
--organization ORG_ID
리소스의 연결 나열
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
선택한 리소스(조직 또는 폴더)의 경우 연결된 정책 및 상속된 정책 목록이 표시됩니다.
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
연결 삭제
조직 또는 폴더와 연결된 계층식 방화벽 정책을 변경해야 하는 경우 기존 연결된 정책을 삭제하는 대신 새 정책을 연결하는 것이 좋습니다. 한 단계로 새 정책을 연결할 수 있으므로 계층식 방화벽 정책이 항상 조직 또는 폴더와 연결되도록 할 수 있습니다.
계층식 방화벽 정책과 조직 또는 폴더 간의 연결을 삭제하려면 이 섹션에 설명된 단계를 따르세요. 계층식 방화벽 정책의 규칙은 연결이 삭제된 후 새 연결에 적용되지 않습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
연결 탭을 클릭합니다.
삭제하려는 연결을 선택합니다.
연결 삭제를 클릭합니다.
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
방화벽 정책 규칙 태스크
이 섹션에서는 계층적 방화벽 정책 규칙을 만들고 관리하는 방법을 설명합니다.
규칙 만들기
계층적 방화벽 정책 규칙은 계층적 방화벽 정책에 만들어야 합니다. 이 규칙은 포함된 정책을 리소스에 연결할 때까지 활성화되지 않습니다.
각 계층식 방화벽 정책 규칙에는 IPv4 또는 IPv6 범위 중 하나만 포함될 수 있습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책 이름을 클릭합니다.
방화벽 규칙 만들기를 클릭합니다.
규칙 필드를 채웁니다.
- 우선순위: 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며
0는 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다 (예:100,200,300). - 로그 컬렉션을 사용 또는 사용 중지로 설정합니다.
- 트래픽 방향에서 이 규칙이 인그레스인지 또는 이그레스 규칙인지 지정합니다.
- 일치 시 작업에 다음 옵션 중 하나를 선택합니다.
- 허용: 규칙과 일치하는 연결을 허용합니다.
- 거부: 규칙과 일치하는 연결을 거부합니다.
- 다음으로 이동: 연결 평가를 계층 구조의 다음 하위 방화벽 규칙으로 전달합니다.
- 보안 프로필 그룹 적용: 레이어 7 검사를 위해 구성된 방화벽 엔드포인트로 패킷을 보냅니다.
- 보안 프로필 그룹 목록에서 보안 프로필 그룹 이름을 선택합니다.
- 패킷의 TLS 검사를 사용 설정하려면 TLS 검사 사용 설정을 선택합니다. VM의 각 네트워크 인터페이스에 대해 규칙 및 해당 작업을 평가하는 방법에 대한 자세한 내용은 정책 및 규칙 평가 순서를 참고하세요.
- 선택사항: 대상 네트워크 필드에 특정 네트워크만 지정하여 해당 네트워크로 규칙을 제한할 수 있습니다. 네트워크 추가를 클릭한 다음 프로젝트와 네트워크를 선택합니다. 규칙에 여러 타겟 네트워크를 추가할 수 있습니다.
- 선택사항: 타겟 서비스 계정 필드에서 계정을 지정하여 특정 서비스 계정에 대한 액세스 권한으로 실행하는 VM으로 규칙을 제한할 수 있습니다.
선택사항: 보안 태그를 선택하여 정책에서 인그레스 규칙의 소스와 인그레스 또는 이그레스 규칙의 타겟을 지정할 수 있습니다. 자세한 내용은 보안 태그 만들기 및 관리를 참고하세요.
인그레스 규칙의 경우 소스 네트워크 유형을 지정합니다.
- 모든 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 모든 네트워크 유형을 선택합니다.
- 특정 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 특정 네트워크 유형을 선택합니다.
- 인터넷 (
INTERNET) 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 인터넷을 선택합니다. - 인터넷이 아닌 (
NON-INTERNET) 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 인터넷 아님을 선택합니다. - VPC 내 (
INTRA_VPC) 네트워크 유형에 속하는 수신 트래픽을 필터링하려면 VPC 내를 선택합니다. - VPC 네트워크(
VPC_NETWORKS) 유형에 속하는 수신 트래픽을 필터링하려면 VPC 네트워크를 선택한 다음 다음 버튼을 사용하여 하나 이상의 네트워크를 지정합니다.- 현재 프로젝트 선택: 현재 프로젝트에서 하나 이상의 네트워크를 추가할 수 있습니다.
- 네트워크 수동 입력: 프로젝트와 네트워크를 수동으로 입력할 수 있습니다.
- 프로젝트 선택: 네트워크를 선택할 수 있는 프로젝트를 선택할 수 있습니다. 네트워크 유형에 대한 자세한 내용은 네트워크 유형을 참고하세요.
- 인터넷 (
이그레스 규칙의 경우 대상 네트워크 유형을 지정합니다.
- 모든 네트워크 유형에 속하는 아웃바운드 트래픽을 필터링하려면 모든 네트워크 유형을 선택합니다.
- 특정 네트워크 유형에 속하는 아웃바운드 트래픽을 필터링하려면 특정 네트워크 유형을 선택합니다.
- 인터넷 (
INTERNET) 네트워크 유형에 속하는 송신 트래픽을 필터링하려면 인터넷을 선택합니다. - 인터넷이 아닌 (
NON-INTERNET) 네트워크 유형에 속하는 아웃바운드 트래픽을 필터링하려면 인터넷이 아닌을 선택합니다. 네트워크 유형에 대한 자세한 내용은 네트워크 유형을 참고하세요.
- 인터넷 (
인그레스 규칙의 경우 소스 필터를 지정합니다.
- 소스 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에
0.0.0.0/0을 사용합니다. - 소스 IPv6 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv6를 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에
::/0을 사용합니다.
- 소스 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에
이그레스 규칙의 경우 대상 필터를 지정합니다.
- 대상 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에
0.0.0.0/0을 사용합니다. - 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6를 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에
::/0을 사용합니다.
- 대상 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에
선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 FQDN을 지정합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 FQDN을 선택합니다. 도메인 이름 객체에 대한 자세한 내용은 FQDN 객체를 참조하세요.
선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 위치정보를 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 위치정보를 선택합니다. 위치정보 객체에 대한 자세한 내용은 위치정보 객체를 참조하세요.
선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 주소 그룹을 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙을 적용할 대상 주소 그룹을 선택합니다. 주소 그룹에 대한 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.
선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 Google Cloud Threat Intelligence 목록을 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 Google Cloud Threat Intelligence 목록을 선택합니다. Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.
선택사항: 인그레스 규칙에서 대상 필터를 지정합니다.
- 대상 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택하고 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에
0.0.0.0/0을 사용합니다. - 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6 범위를 선택하고 대상 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에
::/0을 사용합니다. 자세한 내용은 인그레스 규칙의 대상을 참조하세요.
- 대상 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택하고 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에
선택사항: 이그레스 규칙의 경우 소스 필터를 지정합니다.
- 소스 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에
0.0.0.0/0을 사용합니다. - 소스 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6을 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에
::/0을 사용합니다. 자세한 내용은 이그레스 규칙의 소스를 참조하세요.
- 소스 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에
프로토콜 및 포트에서 규칙이 모든 프로토콜 및 모든 대상 포트에 적용되도록 지정하거나 규칙을 적용할 특정 프로토콜 및 대상 포트를 지정합니다.
IPv4 ICMP를 지정하려면
icmp또는 프로토콜 번호1을 사용합니다. IPv6 ICMP를 지정하려면 프로토콜 번호58을 사용합니다. 프로토콜에 대한 자세한 내용은 프로토콜 및 포트를 참조하세요.만들기를 클릭합니다.
- 우선순위: 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며
방화벽 규칙 만들기를 클릭하여 다른 규칙을 추가합니다.
gcloud
인그레스 규칙을 만들려면 다음 명령어를 사용합니다.
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
--description DESCRIPTION \
--direction INGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources TARGET_NETWORKS] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--src-address-groups SRC_ADDRESS_GROUPS] \
[--src-fqdns SRC_DOMAIN_NAMES] \
[--src-secure-tags SRC_SECURE_TAGS] \
[--src-region-codes SRC_COUNTRY_CODES] \
[--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
[--src-network-type SRC_NETWORK_TYPE] \
[--src-networks SRC_VPC_NETWORK] \
[--dest-ip-ranges DEST_IP_RANGES]
다음을 바꿉니다.
PRIORITY: 정책 내 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다 (예:100,200,300).POLICY_NAME: 새 규칙이 포함된 계층적 네트워크 방화벽 정책의 이름입니다.ORG_ID: 계층적 방화벽 정책이 포함된 조직 ID입니다.DESCRIPTION: 새 규칙에 대한 설명(선택사항)ACTION: 다음 작업 중 하나를 지정합니다.allow: 규칙과 일치하는 연결을 허용합니다.deny: 규칙과 일치하는 연결을 거부합니다.apply_security_profile_group: 레이어 7 검사를 위해 구성된 방화벽 엔드포인트로 패킷을 투명하게 전송합니다. 작업이apply_security_profile_group인 경우:--security-profile-group SECURITY_PROFILE_GROUP를 포함해야 합니다. 여기서 SECURITY_PROFILE_GROUP은 레이어 7 검사에 사용되는 보안 프로필 그룹의 이름입니다.--tls-inspect또는--no-tls-inspect을 포함하여 TLS 검사를 사용 설정 또는 사용 중지합니다.
goto_next: 방화벽 규칙 평가 프로세스의 다음 단계로 계속 진행합니다.
--enable-logging및--no-enable-logging매개변수는 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.--disabled및--no-disabled매개변수는 규칙이 사용 중지(적용되지 않음)인지 사용 설정 (적용됨)인지를 제어합니다.- 대상을 지정합니다.
TARGET_NETWORKS:https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME형식의 네트워크 리소스 URL로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다.TARGET_SECURE_TAGS: 쉼표로 구분된 보안 태그 목록입니다. 타겟 보안 태그 값은 조직 목적 데이터가 있는 보안 태그 키에서 가져와야 합니다.TARGET_SERVICE_ACCOUNTS: 서비스 계정의 쉼표로 구분된 목록입니다.target-resources,--target-secure-tags,--target-service-accounts파라미터를 생략하면 규칙이 가장 광범위한 타겟에 적용됩니다.
LAYER_4_CONFIGS: 레이어 4 구성의 쉼표로 구분된 목록입니다. 각 레이어 4 구성은 다음 중 하나일 수 있습니다.- 대상 포트가 없는 IP 프로토콜 이름 (
tcp) 또는 IANA IP 프로토콜 번호 (17)입니다. - 콜론 (
tcp:80)으로 구분된 IP 프로토콜 이름과 대상 포트입니다. - IP 프로토콜 이름과 대상 포트 범위가 콜론으로 구분되고 대시를 사용하여 시작 및 종료 대상 포트가 구분됩니다(
tcp:5000-6000). 자세한 내용은 프로토콜 및 포트를 참고하세요.
- 대상 포트가 없는 IP 프로토콜 이름 (
- 인그레스 규칙의 소스를 지정합니다.
SRC_IP_RANGES: CIDR 형식의 쉼표로 구분된 IP 주소 범위 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.SRC_ADDRESS_GROUPS: 고유 URL 식별자로 지정된 주소 그룹의 쉼표로 구분된 목록입니다. 목록의 주소 그룹에는 모든 IPv4 주소 또는 모든 IPv6 주소가 포함되어야 하며, 두 주소를 조합할 수 없습니다.SRC_DOMAIN_NAMES: 도메인 이름 형식에 지정된 FQDN 객체의 쉼표로 구분된 목록입니다.SRC_SECURE_TAGS: 쉼표로 구분된 태그 목록입니다.--src-network-type이INTERNET인 경우--src-secure-tags파라미터를 사용할 수 없습니다.SRC_COUNTRY_CODES: 쉼표로 구분된 두 글자 국가 코드 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요.--src-network-type이NON_INTERNET,VPC_NETWORK또는INTRA_VPC인 경우--src-region-codes매개변수를 사용할 수 없습니다.SRC_THREAT_LIST_NAMES: 쉼표로 구분된 Google Threat Intelligence 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google 위협 인텔리전스를 참고하세요.--src-network-type이NON_INTERNET,VPC_NETWORK또는INTRA_VPC인 경우--src-threat-intelligence매개변수를 사용할 수 없습니다.SRC_NETWORK_TYPE: 지원되는 다른 대상 매개변수와 함께 사용하여 특정 대상 조합을 생성할 소스 네트워크 유형을 정의합니다. 유효한 값은INTERNET,NON_INTERNET,VPC_NETWORK또는INTRA_VPC입니다. 자세한 내용은 네트워크 유형을 참고하세요.SRC_VPC_NETWORK: URL 식별자로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다.--src-network-type가VPC_NETWORKS인 경우에만 이 매개변수를 지정합니다.
- 선택적으로 인그레스 규칙의 대상을 지정합니다.
DEST_IP_RANGES: CIDR 형식의 IP 주소 범위를 쉼표로 구분한 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
이그레스 규칙을 만들려면 다음 명령어를 사용합니다.
gcloud compute firewall-policies rules create PRIORITY \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
--description DESCRIPTION \
--direction EGRESS \
--action ACTION \
[--enable-logging | --no-enable-logging] \
[--disabled | --no-disabled] \
[--target-resources TARGET_NETWORKS] \
[--target-secure-tags TARGET_SECURE_TAGS] \
[--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
[--layer4-configs LAYER_4_CONFIGS] \
[--src-ip-ranges SRC_IP_RANGES] \
[--dest-ip-ranges DEST_IP_RANGES] \
[--dest-address-groups DEST_ADDRESS_GROUPS] \
[--dest-fqdns DEST_DOMAIN_NAMES] \
[--dest-region-codes DEST_COUNTRY_CODES] \
[--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
[--dest-network-type DEST_NETWORK_TYPE]
다음을 바꿉니다.
PRIORITY: 정책 내 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다 (예:100,200,300).POLICY_NAME: 새 규칙이 포함된 계층적 네트워크 방화벽 정책의 이름입니다.ORG_ID: 계층적 방화벽 정책이 포함된 조직 ID입니다.DESCRIPTION: 새 규칙에 대한 설명(선택사항)ACTION: 다음 작업 중 하나를 지정합니다.allow: 규칙과 일치하는 연결을 허용합니다.deny: 규칙과 일치하는 연결을 거부합니다.apply_security_profile_group: 레이어 7 검사를 위해 구성된 방화벽 엔드포인트로 패킷을 투명하게 전송합니다. 작업이apply_security_profile_group인 경우:--security-profile-group SECURITY_PROFILE_GROUP를 포함해야 합니다. 여기서 SECURITY_PROFILE_GROUP은 레이어 7 검사에 사용되는 보안 프로필 그룹의 이름입니다.--tls-inspect또는--no-tls-inspect을 포함하여 TLS 검사를 사용 설정 또는 사용 중지합니다.
goto_next: 방화벽 규칙 평가 프로세스의 다음 단계로 계속 진행합니다.
--enable-logging및--no-enable-logging매개변수는 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.--disabled및--no-disabled매개변수는 규칙이 사용 중지(적용되지 않음)인지 사용 설정 (적용됨)인지를 제어합니다.- 대상을 지정합니다.
TARGET_NETWORKS:https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME형식의 네트워크 리소스 URL로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다.TARGET_SECURE_TAGS: 쉼표로 구분된 보안 태그 목록입니다. 타겟 보안 태그 값은 조직 목적 데이터가 있는 보안 태그 키에서 가져와야 합니다.TARGET_SERVICE_ACCOUNTS: 서비스 계정의 쉼표로 구분된 목록입니다.target-resources,--target-secure-tags,--target-service-accounts파라미터를 생략하면 규칙이 가장 광범위한 타겟에 적용됩니다.
LAYER_4_CONFIGS: 레이어 4 구성의 쉼표로 구분된 목록입니다. 각 레이어 4 구성은 다음 중 하나일 수 있습니다.- 대상 포트가 없는 IP 프로토콜 이름 (
tcp) 또는 IANA IP 프로토콜 번호 (17)입니다. - 콜론 (
tcp:80)으로 구분된 IP 프로토콜 이름과 대상 포트입니다. - IP 프로토콜 이름과 대상 포트 범위가 콜론으로 구분되고 대시를 사용하여 시작 및 종료 대상 포트가 구분됩니다(
tcp:5000-6000). 자세한 내용은 프로토콜 및 포트를 참고하세요.
- 대상 포트가 없는 IP 프로토콜 이름 (
- 원하는 경우 이그레스 규칙의 소스를 지정합니다.
SRC_IP_RANGES: CIDR 형식의 IP 주소 범위를 쉼표로 구분한 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
- 이그레스 규칙의 대상을 지정합니다.
DEST_IP_RANGES: CIDR 형식의 IP 주소 범위를 쉼표로 구분한 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.DEST_ADDRESS_GROUPS: 고유 URL 식별자로 지정된 주소 그룹의 쉼표로 구분된 목록입니다.DEST_DOMAIN_NAMES: 도메인 이름 형식에 지정된 FQDN 객체의 쉼표로 구분된 목록입니다.DEST_COUNTRY_CODES: 쉼표로 구분된 두 글자 국가 코드 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요.DEST_THREAT_LIST_NAMES: 쉼표로 구분된 Google Threat Intelligence 이름 목록입니다. 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참고하세요.DEST_NETWORK_TYPE: 지원되는 다른 대상 파라미터와 함께 사용하여 특정 대상 조합을 생성할 대상 네트워크 유형을 정의합니다. 유효한 값은INTERNET및NON_INTERNET입니다. 자세한 내용은 네트워크 유형을 참고하세요.
정책의 모든 규칙 나열
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다. 규칙이 방화벽 규칙 탭에 나열됩니다.
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
규칙 설명
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
규칙의 우선순위를 클릭합니다.
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
다음을 바꿉니다.
PRIORITY: 보려는 규칙의 우선순위입니다. 각 규칙에는 고유한 우선순위가 있으므로 이 설정은 규칙을 고유하게 식별합니다.ORG_ID: 조직의 IDPOLICY_NAME: 규칙이 포함된 정책의 닉네임 또는 시스템 생성 이름
규칙 업데이트
필드 설명은 규칙 만들기를 참고하세요.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
규칙의 우선순위를 클릭합니다.
수정을 클릭합니다.
변경하려는 필드를 수정합니다.
저장을 클릭합니다.
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
정책 간 규칙 클론
타겟 정책에서 모든 규칙을 삭제하고 소스 정책의 규칙으로 바꿉니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
규칙을 복사하려는 정책을 클릭합니다.
화면 상단의 클론을 클릭합니다.
대상 정책의 이름을 입력합니다.
새 정책을 즉시 연결하려면 계속을 클릭하여 리소스와 정책 연결 섹션을 엽니다.
복제를 클릭합니다.
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
다음을 바꿉니다.
POLICY_NAME: 복사된 규칙을 받을 정책ORG_ID: 조직의 IDSOURCE_POLICY: 규칙을 복사할 정책. 리소스의 URL이어야 합니다.
규칙 삭제
정책에서 규칙을 삭제하면 규칙의 대상에 대한 새 연결 또는 규칙의 대상으로부터의 새 연결에 더 이상 규칙이 적용되지 않습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
삭제하려는 규칙을 선택합니다.
삭제를 클릭합니다.
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
다음을 바꿉니다.
PRIORITY: 정책에서 삭제하려는 규칙의 우선순위ORG_ID: 조직의 IDPOLICY_NAME: 규칙이 포함된 정책
네트워크에 유효한 방화벽 규칙 가져오기
VPC 네트워크의 모든 리전에 적용되는 모든 계층식 방화벽 정책 규칙, VPC 방화벽 규칙, 전역 네트워크 방화벽 정책 규칙을 볼 수 있습니다.
콘솔
Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
방화벽 정책 규칙을 보려는 네트워크를 클릭합니다.
방화벽을 클릭합니다.
각 방화벽 정책을 펼쳐서 이 네트워크에 적용되는 규칙을 확인합니다.
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
NETWORK_NAME을 유효한 규칙을 보려는 네트워크로 바꿉니다.
방화벽 페이지에서 네트워크에 유효한 방화벽 규칙을 볼 수도 있습니다.
콘솔
Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.
방화벽 정책은 이 프로젝트에서 상속된 방화벽 정책 섹션에 나열됩니다.
각 방화벽 정책을 클릭하여 이 네트워크에 적용되는 규칙을 확인합니다.
VM 인터페이스에 유효한 방화벽 규칙 가져오기
Compute Engine VM의 네트워크 인터페이스에 적용되는 모든 관련 방화벽 정책 및 VPC 방화벽 규칙의 모든 방화벽 규칙을 볼 수 있습니다.
콘솔
Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
프로젝트 선택기 메뉴에서 VM이 포함된 프로젝트를 선택합니다.
VM을 클릭합니다.
네트워크 인터페이스에서 인터페이스를 클릭합니다.
유효한 방화벽 규칙은 네트워크 구성 분석 섹션에서 사용할 수 있는 방화벽 탭에 표시됩니다.
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
다음을 바꿉니다.
INSTANCE_NAME: 유효한 규칙을 보려는 VM입니다. 인터페이스를 지정하지 않으면 명령어에서 기본 인터페이스(nic0)의 규칙을 반환합니다.INTERFACE: 유효한 규칙을 보려는 VM 인터페이스입니다. 기본값은nic0입니다.ZONE: VM의 영역입니다. 선택한 영역이 이미 기본값으로 설정되어 있으면 이 줄은 선택사항입니다.
문제 해결
이 섹션에는 발생할 수 있는 오류 메시지에 대한 설명이 포함되어 있습니다.
FirewallPolicy may not specify a name. One will be provided.정책 이름을 지정할 수 없습니다. 계층식 방화벽 정책 '이름'은 정책이 생성될 때 Google Cloud 에서 생성된 숫자 ID입니다. 그러나 여러 컨텍스트에서 별칭 역할을 하는 친숙한 닉네임을 지정할 수 있습니다.
FirewallPolicy may not specify associations on creation.연결은 계층식 방화벽 정책이 생성된 후에만 만들 수 있습니다.
Can not move firewall policy to a different organization.계층식 방화벽 정책을 이동하려면 동일한 조직 내에 있어야 합니다.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.리소스가 이미 계층식 방화벽 정책에 연결된 경우 기존 연결을 교체하는 옵션이 true로 설정되어 있지 않으면 연결 작업이 실패합니다.
Cannot have rules with the same priorities.규칙의 우선순위는 계층식 방화벽 정책 내에서 고유해야 합니다.
Direction must be specified on firewall policy rule.REST 요청을 직접 전송하여 계층식 방화벽 정책 규칙을 만들 때 규칙 방향을 지정해야 합니다. Google Cloud CLI를 사용하고 방향을 지정하지 않으면 기본값은
INGRESS입니다.Can not specify enable_logging on a goto_next rule.goto_next 작업은 다른 방화벽 정책의 평가 순서를 나타내는 데 사용되고 ALLOW 또는 DENY의 터미널 작업이 아니므로 방화벽 로깅은 goto_next 작업이 포함된 방화벽 규칙에 허용되지 않습니다.
Must specify at least one destination on Firewall policy rule.방화벽 정책 규칙의
layer4Configs플래그는 하나 이상의 프로토콜 또는 프로토콜 및 대상 포트를 지정해야 합니다.방화벽 정책 규칙 문제 해결에 대한 자세한 내용은 VPC 방화벽 규칙 문제 해결을 참조하세요.