방화벽 정책은 VPC 네트워크에서 트래픽의 인그레스 및 이그레스 흐름을 제어할 수 있는 방화벽 규칙의 모음입니다. 방화벽 정책 규칙을 사용하면 연결을 명시적으로 거부하거나 허용할 수 있습니다.
인밴드 네트워크 보안 통합에서는 계층적 및 전역 네트워크 (권장) 방화벽 정책과 규칙을 사용하여 네트워크 트래픽을 리디렉션합니다. 트래픽은 VPC 네트워크의 인터셉트 엔드포인트 그룹, 프로듀서의 인터셉트 배포 그룹을 거쳐 트래픽 검사를 위해 프로듀서의 컴퓨팅 리소스로 이동합니다.
이 페이지에서는 패킷 검사에 사용되는 방화벽 정책과 규칙을 설명합니다.
방화벽 정책 및 규칙
트래픽을 가로채기 엔드포인트 그룹으로 리디렉션하려면 네트워크 또는 계층식 방화벽 정책과 규칙을 만들면 됩니다.
방화벽 정책을 만들 때는 작업이 APPLY_SECURITY_PROFILE_GROUP인 방화벽 규칙을 만들어야 합니다. 규칙은 custom-intercept-profile 작업이 포함된 보안 프로필 그룹을 참조해야 합니다.
우선순위
방화벽 규칙의 우선순위는 0~2,147,483,547(포함) 사이의 정수여야 합니다. 낮은 정수는 높은 우선 순위를 나타냅니다. 자세한 내용은 방화벽 규칙 우선순위를 참고하세요.
일치 시 작업
방화벽 정책의 규칙에는 다음 작업 중 하나가 있을 수 있습니다.
allow작업은 트래픽을 허용하고 추가 규칙 평가를 중지합니다.deny작업은 트래픽을 거부하고 추가 규칙 평가를 중지합니다.apply_security_profile_group작업은 트래픽을 투명하게 가로채 검사를 위해 구성된 방화벽 엔드포인트 또는 가로채기 엔드포인트 그룹으로 보냅니다. 그러면 패킷 허용 또는 거부 결정은 방화벽 엔드포인트 (또는 인터셉트 엔드포인트 그룹)와 구성된 보안 프로필에 따라 달라집니다. 두 경우 모두 규칙 평가 프로세스가 중지됩니다.
자세한 내용은 정책 및 규칙 평가 순서를 참고하세요.
이그레스 및 인그레스
deny 작업이 있는 인그레스 규칙은 들어오는 연결을 차단하여 모든 인스턴스를 보호합니다. 우선순위가 더 높은 규칙은 수신 액세스를 허용할 수도 있습니다.
allow 작업이 있는 이그레스 규칙을 사용하면 인스턴스에서 규칙에 지정된 대상으로 트래픽을 전송할 수 있습니다. 이그레스는 우선순위가 더 높은 거부 방화벽 규칙에 의해 거부될 수 있습니다. Google Cloud 는 또한 특정 유형의 트래픽을 차단하거나 제한합니다.
정책에 방화벽 규칙을 추가한 후 방화벽 정책을 네트워크와 연결합니다. 자세한 내용은 규칙 만들기 및 관리를 참고하세요.
프로토콜 및 포트
방화벽 규칙과 마찬가지로 방화벽 규칙을 만들 때 프로토콜 및 포트 제약 조건을 1개 이상 지정해야 합니다. 방화벽 규칙에 TCP 또는 UDP를 지정할 때 프로토콜, 프로토콜 및 대상 포트, 프로토콜 및 대상 포트 범위를 지정할 수 있지만 포트 또는 포트 범위만 지정할 수는 없습니다. 또한 대상 포트만 지정할 수 있습니다. 소스 포트를 기반으로 하는 규칙은 지원되지 않습니다.
방화벽 규칙에서 다음 프로토콜 이름을 사용할 수 있습니다.
tcpudpicmp(IPv4 ICMP용)espahsctpipip
다른 모든 프로토콜의 경우 IANA 프로토콜 번호를 사용합니다.
자세한 내용은 방화벽 규칙 프로토콜 및 포트를 참고하세요.
방향
방화벽 규칙이 적용되는 방향입니다. INGRESS 또는 EGRESS일 수 있습니다.
INGRESS: 인그레스 방향은 특정 소스에서 Google Cloud 타겟으로 전송된 수신 연결을 의미합니다. 인그레스 규칙은 패킷의 대상이 타겟인 경우 인바운드 패킷에 적용됩니다.거부 작업이 있는 인그레스 규칙은 들어오는 연결을 차단하여 모든 인스턴스를 보호합니다. 우선순위가 더 높은 규칙은 수신 액세스를 허용할 수도 있습니다. 자동으로 생성되는 기본 네트워크에는 특정 유형의 트래픽에 대한 인그레스를 허용하는 미리 입력된 가상 프라이빗 클라우드 방화벽 규칙이 포함됩니다.
EGRESS: 이그레스 방향은 타겟에서 대상으로 전송된 아웃바운드 트래픽을 의미합니다. 이그레스 규칙은 패킷의 소스가 대상인 경우 새 연결의 패킷에 적용됩니다.