방화벽 규칙 만들기 및 관리

콘솔

네트워크 방화벽 정책을 만들려면 다음 단계를 따르세요.

1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

   방화벽 정책으로 이동

2. 프로젝트 선택기 목록에서 조직 내의 프로젝트를 선택합니다.

3. 방화벽 정책 만들기를 클릭합니다.

4. 이름 필드에 정책 이름을 입력합니다.

5. 배포 범위에서 전역을 선택합니다.

6. 정책에 대한 규칙을 만들려면 계속을 클릭한 다음 규칙 추가를 클릭합니다.

   1. 우선순위 필드에서 규칙의 순서 번호를 설정합니다. 0이 가장 높은 우선순위입니다.
   2. 트래픽 방향으로 인그레스를 선택합니다.
   3. 일치 시 작업으로 L7 검사로 진행을 선택합니다.
   4. 용도에서 NSI 인밴드를 선택합니다.
   5. 보안 프로필 그룹에서 맞춤 차단 보안 프로필 그룹을 선택합니다.
   6. 대상 유형에 규칙의 대상을 지정합니다.
   7. 소스 필터의 경우 소스 필터를 지정합니다.
   8. 대상에 대상 필터를 지정합니다.
   9. 프로토콜 및 포트에서 규칙이 모든 프로토콜 및 모든 대상 포트에 적용되도록 지정하거나 규칙을 적용할 특정 프로토콜 및 대상 포트를 지정합니다.
   10. 만들기를 클릭합니다.

7. 규칙 추가를 클릭하여 다른 규칙을 추가합니다.

8. 정책을 네트워크와 연결하려면 계속을 클릭한 다음 정책을 VPC 네트워크와 연결을 클릭합니다.

9. 만들기를 클릭합니다.

자세한 내용은 전역 네트워크 방화벽 규칙 만들기를 참조하세요.

gcloud

네트워크 방화벽 정책을 만들려면 gcloud compute firewall-policies create 명령어를 사용합니다.

gcloud compute network-firewall-policies create FIREWALL_POLICY

방화벽 규칙을 만들려면 gcloud compute network-firewall-policies rules create 명령어를 사용합니다.

gcloud compute network-firewall-policies rules create PRIORITY \
    --action APPLY_SECURITY_PROFILE_GROUP \
    --firewall-policy FIREWALL_POLICY \
    --security-profile-group organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID \
    --direction DIRECTION \
    --layer4-configs LAYER4_CONIFG \
    --src-ip-ranges SRC_IP_RANGE \
    [--dest-ip-ranges DEST_IP_RANGE] \
    --global-firewall-policy

다음을 바꿉니다.

• PRIORITY: 추가할 규칙의 우선순위입니다.

• FIREWALL_POLICY: 규칙을 만들 방화벽 정책 ID입니다.

• ORGANIZATION_ID: 보안 프로필 그룹이 생성된 조직의 ID입니다.

• SECURITY_PROFILE_GROUP_ID: custom-intercept-profile 작업이 있는 보안 프로필 그룹의 ID입니다.

• DIRECTION: 규칙이 ingress인지 또는 egress인지를 나타냅니다. 방향을 지정하지 않으면 수신 트래픽에 규칙을 적용하는 것이 기본값입니다. 수신 트래픽의 경우 대상 범위를 지정할 수 없습니다. 아웃바운드 트래픽의 경우 소스 범위 또는 소스 태그를 지정할 수 없습니다.

• LAYER4_CONFIG: 방화벽 규칙이 적용되는 대상 프로토콜 및 포트의 목록입니다.

• SRC_IP_RANGE: 소스 IP 범위입니다. DIRECTION이 ingress인 경우에만 지정됩니다.

• DEST_IP_RANGE: 대상 IP 범위입니다. DIRECTION이 egress인 경우에만 지정됩니다.

Terraform

google_compute_firewall_policy 리소스를 사용하여 방화벽 정책을 만들 수 있습니다.

resource "google_compute_network_firewall_policy" "default" {
  name = "firewall-policy"
}

google_compute_network_firewall_policy_rule 리소스를 사용하여 방화벽 정책 규칙을 만들 수 있습니다.

resource "google_compute_network_firewall_policy_rule" "default" {
  firewall_policy        = google_compute_network_firewall_policy.default.name
  priority               = 1000
  action                 = "apply_security_profile_group"
  direction              = "INGRESS"
  security_profile_group = google_network_security_security_profile_group.default.id

  match {
    layer4_configs {
      ip_protocol = "tcp"
      ports       = ["80"]
    }
    src_ip_ranges = ["10.10.0.0/16"]
  }
}

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

콘솔

1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

   방화벽 정책으로 이동

2. 프로젝트 선택 도구에서 전역 네트워크 방화벽 정책이 포함된 프로젝트를 선택합니다.

3. 정책을 클릭합니다.

4. 규칙의 세부정보를 보려면 규칙의 우선순위를 클릭합니다.

gcloud

방화벽 정책을 설명하려면 gcloud compute network-firewall-policies describe 명령어를 사용합니다.

gcloud compute network-firewall-policies describe FIREWALL_POLICY

방화벽 규칙을 설명하려면 gcloud compute network-firewall-policies rules describe 명령어를 사용합니다.

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy FIREWALL_POLICY

FIREWALL_POLICY을 규칙이 정의된 방화벽 정책 ID로 바꿉니다.

콘솔

1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

   방화벽 정책으로 이동

2. 프로젝트 선택기에서 정책이 포함된 프로젝트를 선택합니다.

3. 정책을 클릭합니다.

4. 삭제하려는 규칙을 선택합니다.

5. 삭제를 클릭합니다.

6. 연결 탭을 클릭합니다.

7. 삭제하려는 연결을 선택합니다.

8. 연결 삭제를 클릭합니다.

9. 연결을 모두 삭제한 후 삭제를 클릭합니다.

gcloud

방화벽 규칙을 삭제하려면 gcloud compute network-firewall-policies rules delete 명령어를 사용합니다.

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy FIREWALL_POLICY

FIREWALL_POLICY을 규칙이 정의된 방화벽 정책 ID로 바꿉니다.

방화벽 정책을 삭제하려면 gcloud compute network-firewall-policies delete 명령어를 사용합니다.

gcloud compute network-firewall-policies delete FIREWALL_POLICY