방화벽 정책을 사용하면 여러 방화벽 및 미러링 규칙을 그룹화할 수 있으므로 한 번에 모든 규칙을 업데이트하고 Identity and Access Management (IAM) 역할로 효과적으로 제어할 수 있습니다. 방화벽 정책에 대한 자세한 내용은 방화벽 정책 개요를 참고하세요.
방화벽 정책 규칙을 사용하면 연결을 명시적으로 거부하거나 허용할 수 있으며, 미러링 규칙을 사용하면 미러링할 트래픽을 필터링할 수 있습니다.
이 문서에서는 미러링 규칙과 해당 구성요소가 있는 방화벽 정책을 설명합니다.
방화벽 정책 만들기
전역 네트워크 방화벽 정책에서 미러링 규칙을 만들 수 있습니다. 전역 네트워크 방화벽 정책에는 정의된 트래픽을 명시적으로 미러링하거나 미러링하지 않을 수 있는 미러링 규칙이 포함되어 있습니다. 이러한 정책을 만들고 네트워크와 연결하는 방법에 대한 자세한 내용은 전역 네트워크 방화벽 정책 및 규칙 사용을 참고하세요.
방화벽 정책에는 방화벽 규칙과 패킷 미러링 규칙이 모두 포함될 수 있습니다. 하지만 이러한 규칙은 독립적이며 별도로 평가됩니다. 즉, 방화벽 규칙과 패킷 미러링 규칙의 우선순위가 같을 수 있습니다. 자세한 내용은 미러링 규칙의 정책 및 규칙 평가 순서를 참고하세요.
미러링 규칙
대역 외 네트워크 보안 통합 서비스인 패킷 미러링은 패킷 미러링 규칙을 사용하여 소비자 네트워크에서 미러링되는 트래픽을 지정합니다. 그러면 이 미러링된 트래픽이 프로듀서 네트워크의 배포 그룹으로 전송됩니다. 트래픽을 미러링하려면 먼저 전역 네트워크 방화벽 정책 내에서 패킷 미러링 규칙을 만들어야 합니다.
미러링 규칙 구성요소
미러링 규칙은 일반적으로 방화벽 정책과 동일하게 작동하지만 다음 섹션에서 설명하듯이 몇 가지 차이점이 있습니다.
우선순위
미러링 규칙의 우선순위는 0~2,147,483,547(포함) 사이의 정수입니다. 낮은 정수는 높은 우선 순위를 나타냅니다. 미러링 규칙의 우선순위는 방화벽 규칙의 우선순위와 비슷합니다.
일치 시 작업
미러링 규칙은 인그레스 또는 이그레스 데이터 패킷이 미러링되는지 여부를 결정합니다. 미러링 규칙에는 다음 작업 중 하나가 있을 수 있습니다.
패킷 미러링 규칙의 경우 다음 작업이 지원됩니다.
MIRROR: 일치하는 트래픽이 미러링되고 배포 그룹으로 라우팅됩니다.DO_NOT_MIRROR: 일치하는 트래픽이 미러링되지 않고 추가 패킷 미러링 방화벽 규칙의 평가가 건너뜁니다.DO_NOT_MIRROR규칙은 미러링할 필요가 없는 흐름을 세부적으로 필터링하는 데 사용됩니다.GOTO_NEXT: 연결 평가를 하위 수준에 위임하는 데 사용할 수 있는 작업입니다. 미러링 규칙은 다음 조건 중 하나가 충족되는 경우 후속 규칙의 처리를 허용합니다.- 작업이
goto_next이면 평가가 다음 규칙으로 진행됩니다. 따라서 여러goto_next규칙은 서로의 동작에 영향을 미치지 않습니다. - 수신 트래픽이 기존 규칙과 일치하지 않으면 시스템은 기본적으로
goto_next작업을 실행합니다. 이는 현재 정책 수준에서 관련 작업을 찾지 못했으므로 평가가 다음 하위 수준으로 진행됨을 의미합니다.
- 작업이
mirror작업이 있는 미러링 규칙은CUSTOM_MIRRORING보안 프로필이 포함된 보안 프로필 그룹을 참조해야 합니다.
허용 작업이 있는 이그레스 규칙을 사용하면 인스턴스에서 규칙에 지정된 대상으로 트래픽을 전송할 수 있습니다. 이그레스는 우선순위가 더 높은 거부 방화벽 규칙에 의해 거부될 수 있습니다. Google Cloud 는 또한 특정 유형의 트래픽을 차단하거나 제한합니다.
정책에 미러링 규칙을 추가한 후에는 생성된 규칙을 적용하기 위해 미러링 규칙을 네트워크와 연결합니다. 미러링 규칙을 만들고 연결하는 방법에 대한 자세한 내용은 미러링 규칙 만들기 및 관리를 참고하세요.
프로토콜 및 포트
방화벽 규칙과 마찬가지로 미러링 규칙을 만들 때 프로토콜 및 포트 제약 조건을 하나 이상 지정해야 합니다. 미러링 규칙에 TCP 또는 UDP를 지정할 때 프로토콜, 프로토콜 및 대상 포트, 프로토콜 및 대상 포트 범위를 지정할 수 있지만 포트 또는 포트 범위만 지정할 수는 없습니다. 또한 대상 포트만 지정할 수 있습니다. 소스 포트를 기반으로 하는 규칙은 지원되지 않습니다.
미러링 규칙에서 tcp, udp, icmp (IPv4 ICMP용), esp, ah, sctp, ipip 프로토콜 이름을 사용할 수 있습니다. 다른 모든 프로토콜의 경우 IANA 프로토콜 번호를 사용합니다. 많은 프로토콜이 IPv4와 IPv6 모두에서 동일한 이름과 번호를 사용하지만 ICMP와 같은 일부 프로토콜은 사용하지 않습니다. IPv4 ICMP를 지정하려면 icmp 또는 프로토콜 번호 1을 사용합니다. IPv6 ICMP의 경우 프로토콜 번호 58을 사용합니다.
미러링 규칙에서는 ICMP 유형과 코드 지정을 지원하지 않으며 프로토콜만 지원합니다. IPv6 홉별 프로토콜은 미러링 규칙에서 지원되지 않습니다. 프로토콜 및 포트 파라미터를 지정하지 않으면 규칙이 모든 프로토콜 및 대상 포트에 적용됩니다.
방향
미러링 규칙이 적용되는 방향입니다. INGRESS 또는 EGRESS가 될 수 있습니다.
INGRESS: 인그레스 방향은 특정 소스에서 Google Cloud 타겟으로 전송된 수신 연결을 의미합니다. 인그레스 규칙은 패킷의 대상이 타겟인 경우 인바운드 패킷에 적용됩니다.거부 작업이 있는 인그레스 규칙은 들어오는 연결을 차단하여 모든 인스턴스를 보호합니다. 우선순위가 더 높은 규칙은 수신 액세스를 허용할 수도 있습니다. 자동으로 생성되는 기본 네트워크에는 특정 유형의 트래픽에 대한 인그레스를 허용하는 미리 입력된 Virtual Private Cloud (VPC) 방화벽 규칙이 포함됩니다.
EGRESS: 이그레스 방향은 대상에서 목적지로 전송된 아웃바운드 트래픽을 의미합니다. 이그레스 규칙은 패킷의 소스가 대상인 경우 새 연결의 패킷에 적용됩니다.