방화벽 정책

방화벽 정책을 사용하면 여러 방화벽 규칙을 그룹화할 수 있으므로 한 번에 모든 규칙을 업데이트하고 Identity and Access Management(IAM) 역할로 효과적으로 제어할 수 있습니다. 이러한 정책에는 Virtual Private Cloud(VPC) 방화벽 규칙과 같이 연결을 명시적으로 거부하거나 허용할 수 있는 규칙이 포함됩니다.

계층식 방화벽 정책

계층식 방화벽 정책을 사용하면 1개 이상의 프로젝트에서 여러 VPC 네트워크에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다. 계층식 방화벽 정책을 전체 조직 또는 개별 폴더와 연결할 수 있습니다.

계층식 방화벽 정책 사양과 세부정보는 계층식 방화벽 정책을 참조하세요.

전역 네트워크 방화벽 정책 수

전역 네트워크 방화벽 정책을 사용하면 VPC 네트워크의 모든 리전에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다.

전역 네트워크 방화벽 정책 사양 및 세부정보는 전역 네트워크 방화벽 정책을 참조하세요.

리전 네트워크 방화벽 정책 수

리전 네트워크 방화벽 정책을 사용하면 VPC 네트워크의 특정 리전에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다.

리전 방화벽 정책 사양과 세부정보는 리전 네트워크 방화벽 정책을 참조하세요.

리전 시스템 방화벽 정책

리전 시스템 방화벽 정책은 리전 네트워크 방화벽 정책과 유사하지만 Google에서 관리합니다. 리전 시스템 방화벽 정책에는 다음과 같은 특징이 있습니다.

  • Google Cloud 는 계층식 방화벽 정책의 규칙을 평가한 직후 리전 시스템 방화벽 정책의 규칙을 평가합니다. 자세한 내용은 방화벽 규칙 평가 프로세스를 참고하세요.

  • 방화벽 규칙 로깅을 사용 설정하거나 사용 중지하는 경우를 제외하고 리전 시스템 방화벽 정책의 규칙을 수정할 수 없습니다. 대신 Google Kubernetes Engine (GKE)과 같은 Google 서비스는 내부 API를 사용하여 리전 시스템 방화벽 정책의 규칙을 관리합니다.

  • Google Cloud Google 서비스에 네트워크의 해당 리전의 규칙이 필요한 경우 VPC 네트워크의 리전에 리전 시스템 방화벽 정책을 만듭니다. Google Cloud Google 서비스의 요구사항에 따라 VPC 네트워크의 리전에 두 개 이상의 리전 시스템 방화벽 정책을 연결할 수 있습니다.

  • 리전 시스템 방화벽 정책의 규칙 평가는 무료입니다.

네트워크 프로필 상호작용

일반 VPC 네트워크는 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책, VPC 방화벽 규칙의 방화벽 규칙을 지원합니다. 모든 방화벽 규칙은 Andromeda 네트워크 가상화 스택의 일부로 프로그래밍됩니다.

특정 네트워크 프로필을 사용하는 VPC 네트워크는 사용할 수 있는 방화벽 정책 및 규칙 속성을 제한합니다. RoCE VPC 네트워크의 경우 이 페이지 대신 RoCE VPC 네트워크용 Cloud NGFW를 참고하세요.

네트워크 방화벽 정책 시행 순서

각 일반 VPC 네트워크에는 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책의 규칙이 평가되는 시점을 제어하는 네트워크 방화벽 정책 시행 순서가 있습니다.

  • AFTER_CLASSIC_FIREWALL (기본값): Cloud NGFW는 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책의 규칙을 평가하기 전에 VPC 방화벽 규칙을 평가합니다.

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW는 VPC 방화벽 규칙을 평가하기 전에 전역 네트워크 방화벽 정책과 리전 네트워크 방화벽 정책의 규칙을 평가합니다.

네트워크 방화벽 정책 적용 순서를 변경하려면 다음 중 하나를 수행하세요.

  • networks.patch 메서드를 사용하여 VPC 네트워크의 networkFirewallPolicyEnforcementOrder 속성을 설정합니다.

  • gcloud compute networks update 명령어--network-firewall-policy-enforcement-order 플래그와 함께 사용합니다.

    예를 들면 다음과 같습니다.

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

방화벽 규칙 평가 프로세스

이 섹션에서는 Cloud NGFW가 일반 VPC 네트워크에서 타겟 리소스에 적용되는 규칙을 평가하는 순서를 설명합니다.

각 방화벽 규칙은 트래픽 방향에 따라 인그레스 규칙 또는 이그레스 규칙입니다.

  • 인그레스 규칙은 타겟 리소스가 수신하는 새 연결의 패킷에 적용됩니다. 인그레스 규칙에 지원되는 대상 리소스는 다음과 같습니다.

    • 가상 머신 (VM) 인스턴스의 네트워크 인터페이스입니다.

    • 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리형 Envoy 프록시(미리보기)

  • 이그레스 규칙은 대상 VM 네트워크 인터페이스가 전송하는 새 연결의 패킷에 적용됩니다.

Cloud NGFW는 항상 다른 방화벽 규칙을 평가하기 전에 계층식 방화벽 정책 및 리전 시스템 방화벽 정책의 규칙을 평가합니다. 네트워크 방화벽 정책 적용 순서를 선택하여 Cloud NGFW가 다른 방화벽 규칙을 평가하는 순서를 제어할 수 있습니다. 네트워크 방화벽 정책 시행 순서는 AFTER_CLASSIC_FIREWALL 또는 BEFORE_CLASSIC_FIREWALL일 수 있습니다.

AFTER_CLASSIC_FIREWALL 네트워크 방화벽 정책 시행 순서

네트워크 방화벽 정책 시행 순서가 AFTER_CLASSIC_FIREWALL인 경우 Cloud NGFW는 VPC 방화벽 규칙을 평가한 후 전역 및 리전 네트워크 방화벽 정책의 규칙을 평가합니다. 이것이 기본 평가 순서입니다.

AFTER_CLASSIC_FIREWALL 적용 순서를 사용하는 일반 VPC 네트워크에서 전체 방화벽 규칙 평가 순서는 다음과 같습니다.

  1. 계층식 방화벽 정책

    Cloud NGFW는 다음 순서로 계층적 방화벽 정책을 평가합니다.

    1. 타겟 리소스가 포함된 조직과 연결된 계층식 방화벽 정책입니다.
    2. 최상위 폴더에서 타겟 리소스의 프로젝트가 포함된 폴더까지 폴더 상위 항목과 연결된 계층식 방화벽 정책입니다.

    각 계층식 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    계층식 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 다음 중 하나로 계속됩니다.
      • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
      • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

    계층적 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 다음 중 하나로 평가를 계속합니다.

    • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
    • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

  2. 리전 시스템 방화벽 정책

    리전 시스템 방화벽 정책 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    리전 시스템 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • goto_next: 규칙 평가가 계속됩니다.
      • 다음으로 높은 연결 우선순위의 리전 시스템 방화벽 정책(있는 경우)
      • 모든 리전 시스템 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

    리전 시스템 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW에서 묵시적 goto_next 작업을 사용합니다. 이 작업은 다음 중 하나로 평가를 계속합니다.

    • 다음으로 높은 연결 우선순위의 리전 시스템 방화벽 정책(있는 경우)
    • 모든 리전 시스템 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

  3. VPC 방화벽 규칙.

    VPC 방화벽 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    하나 또는 두 개의 VPC 방화벽 규칙이 트래픽과 일치하는 경우 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.

    두 규칙이 일치하는 경우 우선순위는 동일하지만 작업은 달라야 합니다. 이 경우 Cloud NGFW는 deny VPC 방화벽 규칙을 적용하고 allow VPC 방화벽 규칙은 무시합니다.

    트래픽과 일치하는 VPC 방화벽 규칙이 없으면 Cloud NGFW는 묵시적 goto_next 작업을 사용하여 평가 순서의 다음 단계로 진행합니다.

  4. 전역 네트워크 방화벽 정책

    전역 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    전역 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 평가 순서의 리전 네트워크 방화벽 정책 단계로 계속됩니다.

    전역 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서에서 리전 네트워크 방화벽 정책 단계로 평가를 계속합니다.

  5. 리전 네트워크 방화벽 정책

    Cloud NGFW는 대상 리전의 리전 네트워크 방화벽 정책과 VPC 네트워크의 규칙을 평가합니다.

    리전 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    리전 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • goto_next: 규칙 평가가 평가 순서의 다음 단계로 계속됩니다.

    리전 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서의 다음 단계로 평가를 계속합니다.

  6. 마지막 단계 - 암시적 작업

    방화벽 규칙 평가가 명시적 또는 암시적 goto_next 작업을 따라 이전 단계를 모두 거친 경우 Cloud NGFW는 암시적 작업을 적용합니다. 암시된 작업은 트래픽의 방향에 따라 달라집니다.

    • 수신 트래픽의 경우 암시된 작업은 타겟 리소스에 따라 달라집니다.

      • 대상 리소스가 VM 인스턴스의 네트워크 인터페이스인 경우 암시된 수신 작업은 deny입니다.

      • 대상 리소스가 내부 애플리케이션 부하 분산기 또는 내부 프록시 네트워크 부하 분산기의 전달 규칙인 경우 암시적 인그레스는 allow입니다.

    • 이그레스 트래픽의 경우 암시된 작업은 allow입니다.

AFTER_CLASSIC_FIREWALL 다이어그램

다음 다이어그램은 AFTER_CLASSIC_FIREWALL 네트워크 방화벽 정책 시행 순서를 보여줍니다.

방화벽 규칙 확인 흐름
그림 1. 네트워크 방화벽 정책 시행 순서가 AFTER_CLASSIC_FIREWALL인 경우의 방화벽 규칙 확인 흐름(확대하려면 클릭)

BEFORE_CLASSIC_FIREWALL 네트워크 방화벽 정책 시행 순서

네트워크 방화벽 정책 시행 순서가 BEFORE_CLASSIC_FIREWALL인 경우 Cloud NGFW는 VPC 방화벽 규칙을 평가하기 전에 전역 및 리전 네트워크 방화벽 정책의 규칙을 평가합니다.

BEFORE_CLASSIC_FIREWALL 적용 순서를 사용하는 일반 VPC 네트워크에서 전체 방화벽 규칙 평가 순서는 다음과 같습니다.

  1. 계층식 방화벽 정책

    Cloud NGFW는 다음 순서로 계층적 방화벽 정책을 평가합니다.

    1. 타겟 리소스가 포함된 조직과 연결된 계층식 방화벽 정책입니다.
    2. 최상위 폴더에서 타겟 리소스의 프로젝트가 포함된 폴더까지 폴더 상위 항목과 연결된 계층식 방화벽 정책입니다.

    각 계층식 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    계층식 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 다음 중 하나로 계속됩니다.
      • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
      • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

    계층적 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 다음 중 하나로 평가를 계속합니다.

    • 타겟 리소스에 더 가까운 폴더 상위 항목과 연결된 계층식 방화벽 정책(있는 경우)
    • 모든 계층식 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

  2. 리전 시스템 방화벽 정책

    리전 시스템 방화벽 정책 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    리전 시스템 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • goto_next: 규칙 평가가 계속됩니다.
      • 다음으로 높은 연결 우선순위의 리전 시스템 방화벽 정책(있는 경우)
      • 모든 리전 시스템 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

    리전 시스템 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW에서 묵시적 goto_next 작업을 사용합니다. 이 작업은 다음 중 하나로 평가를 계속합니다.

    • 다음으로 높은 연결 우선순위의 리전 시스템 방화벽 정책(있는 경우)
    • 모든 리전 시스템 방화벽 정책이 평가된 경우 평가 순서의 다음 단계입니다.

  3. 전역 네트워크 방화벽 정책

    전역 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    전역 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • apply_security_profile_group: 규칙이 구성된 방화벽 엔드포인트로 트래픽을 전달하고 모든 규칙 평가가 중지됩니다. 패킷 허용 또는 삭제 결정은 보안 프로필 그룹의 구성된 보안 프로필에 따라 달라집니다.
    • goto_next: 규칙 평가가 평가 순서의 리전 네트워크 방화벽 정책 단계로 계속됩니다.

    전역 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서에서 리전 네트워크 방화벽 정책 단계로 평가를 계속합니다.

  4. 리전 네트워크 방화벽 정책

    Cloud NGFW는 대상 리전의 리전 네트워크 방화벽 정책과 VPC 네트워크의 규칙을 평가합니다.

    리전 네트워크 방화벽 정책의 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    리전 네트워크 방화벽 정책에서는 최대 하나의 규칙이 트래픽과 일치할 수 있습니다. 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.
    • goto_next: 규칙 평가가 평가 순서의 다음 단계로 계속됩니다.

    리전 네트워크 방화벽 정책의 규칙이 트래픽과 일치하지 않으면 Cloud NGFW는 묵시적 goto_next 작업을 사용합니다. 이 작업은 평가 순서의 다음 단계로 평가를 계속합니다.

  5. VPC 방화벽 규칙.

    VPC 방화벽 규칙을 평가할 때 Cloud NGFW는 다음 단계를 실행합니다.

    1. 타겟이 타겟 리소스와 일치하지 않는 모든 규칙을 무시합니다.
    2. 패킷의 방향과 일치하지 않는 모든 규칙을 무시합니다.
    3. 가장 높은 우선순위에서 가장 낮은 우선순위로 나머지 규칙을 평가합니다.

      다음 조건 중 하나가 충족되면 평가가 중지됩니다.

      • 타겟 리소스에 적용되는 규칙이 트래픽과 일치합니다.
      • 대상 리소스에 적용되는 규칙 중 트래픽과 일치하는 규칙이 없습니다.

    하나 또는 두 개의 VPC 방화벽 규칙이 트래픽과 일치하는 경우 방화벽 규칙의 일치 시 작업은 다음 중 하나일 수 있습니다.

    • allow: 규칙이 트래픽을 허용하고 모든 규칙 평가가 중지됩니다.
    • deny: 규칙이 트래픽을 거부하고 모든 규칙 평가가 중지됩니다.

    두 규칙이 일치하는 경우 우선순위는 동일하지만 작업은 달라야 합니다. 이 경우 Cloud NGFW는 deny VPC 방화벽 규칙을 적용하고 allow VPC 방화벽 규칙은 무시합니다.

    트래픽과 일치하는 VPC 방화벽 규칙이 없으면 Cloud NGFW는 묵시적 goto_next 작업을 사용하여 평가 순서의 다음 단계로 진행합니다.

  6. 마지막 단계 - 암시적 작업

    방화벽 규칙 평가가 명시적 또는 암시적 goto_next 작업을 따라 이전 단계를 모두 거친 경우 Cloud NGFW는 암시적 작업을 적용합니다. 암시된 작업은 트래픽의 방향에 따라 달라집니다.

    • 수신 트래픽의 경우 암시된 작업은 타겟 리소스에 따라 달라집니다.

      • 대상 리소스가 VM 인스턴스의 네트워크 인터페이스인 경우 암시된 수신 작업은 deny입니다.

      • 대상 리소스가 내부 애플리케이션 부하 분산기 또는 내부 프록시 네트워크 부하 분산기의 전달 규칙인 경우 암시적 인그레스는 allow입니다.

    • 이그레스 트래픽의 경우 암시된 작업은 allow입니다.

BEFORE_CLASSIC_FIREWALL 다이어그램

다음 다이어그램은 BEFORE_CLASSIC_FIREWALL 네트워크 방화벽 정책 시행 순서를 보여줍니다.

방화벽 규칙 확인 흐름
그림 2. 네트워크 방화벽 정책 시행 순서가 BEFORE_CLASSIC_FIREWALL인 경우의 방화벽 규칙 확인 흐름 (확대하려면 클릭)

유효 방화벽 규칙

계층식 방화벽 정책 규칙, VPC 방화벽 규칙, 전역 및 리전 네트워크 방화벽 정책 규칙에서 연결을 제어합니다. 개별 네트워크나 VM 인터페이스에 영향을 미치는 모든 방화벽 규칙을 확인하면 도움이 됩니다.

네트워크 유효 방화벽 규칙

VPC 네트워크에 적용되는 모든 방화벽 규칙을 볼 수 있습니다. 이 목록에는 다음과 같은 종류의 규칙이 모두 포함됩니다.

  • 계층식 방화벽 정책에서 상속된 규칙
  • VPC 방화벽 규칙
  • 전역 및 리전 네트워크 방화벽 정책에서 적용되는 규칙

인스턴스 유효 방화벽 규칙

VM의 네트워크 인터페이스에 적용되는 모든 방화벽 규칙을 볼 수 있습니다. 이 목록에는 다음과 같은 종류의 규칙이 모두 포함됩니다.

  • 계층식 방화벽 정책에서 상속된 규칙
  • 인터페이스의 VPC 방화벽에서 적용되는 규칙
  • 전역 및 리전 네트워크 방화벽 정책에서 적용되는 규칙

규칙 순서는 조직 수준에서 VPC 네트워크 순으로 정해집니다. VM 인터페이스에 적용되는 규칙만 표시됩니다. 다른 정책의 규칙은 표시되지 않습니다.

리전 내 유효 방화벽 정책 규칙을 보려면 네트워크의 유효 리전 방화벽 정책 가져오기를 참고하세요.

사전 정의된 규칙

계층식 방화벽 정책, 전역 네트워크 방화벽 정책 또는 리전 네트워크 방화벽 정책을 만들면 Cloud NGFW가 사전 정의된 규칙을 정책에 추가합니다. Cloud NGFW가 정책에 추가하는 사전 정의된 규칙은 정책을 만드는 방법에 따라 달라집니다.

Google Cloud 콘솔을 사용하여 방화벽 정책을 만들면 Cloud NGFW는 다음 규칙을 새 정책에 추가합니다.

  1. 비공개 IPv4 범위의 goto-next 규칙
  2. 사전 정의된 Google Threat Intelligence 거부 규칙
  3. 사전 정의된 위치정보 거부 규칙
  4. 우선순위가 가장 낮은 goto-next 규칙

Google Cloud CLI 또는 API를 사용하여 방화벽 정책을 만드는 경우 Cloud NGFW는 우선순위가 가장 낮은 goto-next 규칙만 정책에 추가합니다.

새 방화벽 정책의 모든 사전 정의된 규칙은 낮은 우선순위(큰 우선순위 번호)를 의도적으로 사용하므로 우선순위가 더 높은 규칙을 만들어 재정의할 수 있습니다. 우선순위가 가장 낮은 goto-next 규칙을 제외하고 사전 정의된 규칙을 맞춤설정할 수도 있습니다.

비공개 IPv4 범위의 goto-next 규칙

  • 대상 IPv4 범위 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위 1000, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv4 범위 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 우선순위 1001, goto_next 작업이 있는 인그레스 규칙

사전 정의된 Google Threat Intelligence 거부 규칙

  • 소스 Google Threat Intelligence 목록 iplist-tor-exit-nodes, 우선순위 1002, deny 작업이 있는 인그레스 규칙

  • 소스 Google Threat Intelligence 목록 iplist-known-malicious-ips, 우선순위 1003, deny 작업이 있는 인그레스 규칙

  • 대상 Google Threat Intelligence 목록 iplist-known-malicious-ips, 우선순위 1004, deny 작업이 있는 이그레스 규칙

Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.

사전 정의된 위치정보 거부 규칙

  • 소스 일치 위치정보 CU, IR, KP, SY, XC, XD, 우선순위 1005, deny 작업이 있는 인그레스 규칙

위치정보에 대한 자세한 내용은 위치정보 객체를 참조하세요.

우선순위가 가장 낮은 goto-next 규칙

다음 규칙은 수정하거나 삭제할 수 없습니다.

  • 대상 IPv6 범위 ::/0, 우선순위 2147483644, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv6 범위 ::/0, 우선순위 2147483645, goto_next 작업이 있는 인그레스 규칙

  • 대상 IPv4 범위 0.0.0.0/0, 우선순위 2147483646, goto_next 작업이 있는 이그레스 규칙

  • 소스 IPv4 범위 0.0.0.0/0, 우선순위 2147483647, goto_next 작업이 있는 인그레스 규칙

다음 단계