계층식 방화벽 정책 및 규칙 만들기

이 페이지에서는 계층적 방화벽 정책 및 규칙을 사용하여Cloud de Confiance by S3NS 조직과 폴더 전반에서 네트워크 트래픽을 제어하는 방법을 설명합니다. 조직 또는 폴더 수준에서 정책을 정의한 다음 특정 리소스와 연결하는 방법을 알아봅니다.

이 페이지를 읽기 전에 계층적 방화벽 정책 개요에 설명된 개념을 숙지해야 합니다. 계층식 방화벽 정책 구현 예시를 보려면 계층식 방화벽 정책 예시를 참조하세요.

제한사항

  • 계층식 방화벽 정책 규칙은 타겟을 정의하는 네트워크 태그 사용을 지원하지 않습니다. 대신 타겟 Virtual Private Cloud(VPC) 네트워크 또는 타겟 서비스 계정을 사용해야 합니다.
  • 방화벽 정책은 폴더 및 조직 수준에서 적용될 수 있지만 VPC 네트워크 수준에서는 적용되지 않습니다. 일반 VPC 방화벽 규칙은 VPC 네트워크에서 지원됩니다.
  • 폴더의 가상 머신(VM) 인스턴스는 VM 상위의 리소스 계층 전체에서 규칙을 상속할 수 있지만 하나의 방화벽 정책만 리소스(폴더 또는 조직)에 연결될 수 있습니다.
  • 방화벽 정책 규칙 로깅allowdeny 규칙에서 지원되지만 goto_next 규칙에서는 지원되지 않습니다.
  • IPv6 홉별 프로토콜은 방화벽 규칙에서 지원되지 않습니다.

방화벽 정책 작업

이 섹션에서는 계층식 방화벽 정책을 만들고 연결하는 방법을 설명합니다.

방화벽 정책 만들기

계층식 방화벽 정책을 만들 때 상위 요소를 조직 또는 조직 내 폴더로 설정할 수 있습니다. 정책을 만든 후 조직 또는 조직의 폴더와 정책을 연결할 수 있습니다.

콘솔

  1. Cloud de Confiance 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 조직 ID 또는 조직 내의 폴더를 선택합니다.

  3. 방화벽 정책 만들기를 클릭합니다.

  4. 정책 이름 필드에 정책 이름을 입력합니다.

  5. (선택사항) 정책에 대한 규칙을 만들려면 계속을 클릭합니다.

  6. 규칙 추가 섹션에서 방화벽 규칙 만들기를 클릭합니다. 방화벽 규칙 만들기에 대한 자세한 내용은 다음을 참고하세요.

  7. (선택사항) 정책을 리소스와 연결하려면 계속을 클릭합니다.

  8. 리소스와 정책 연결 섹션에서 추가를 클릭합니다.

    자세한 내용은 정책을 조직 또는 폴더와 연결을 참고하세요.

  9. 만들기를 클릭합니다.

gcloud

다음 명령어를 실행하여 상위 항목이 조직인 계층식 방화벽 정책을 만듭니다.

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

다음 명령어를 실행하여 상위 항목이 조직 내 폴더인 계층식 방화벽 정책을 만듭니다.

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

다음을 바꿉니다.

  • ORG_ID: 조직의 ID

    상위 항목이 조직인 정책을 만들 조직 ID를 지정합니다. 정책은 조직 또는 조직 내 폴더와 연결할 수 있습니다.

  • SHORT_NAME: 정책 이름

    Google Cloud CLI를 사용하여 만든 정책에는 시스템 생성 이름과 개발자가 제공한 닉네임, 이렇게 두 가지가 있습니다. gcloud CLI CLI를 사용하여 기존 정책을 업데이트할 때 시스템 생성 이름 또는 닉네임과 조직 ID를 제공할 수 있습니다. API를 사용하여 정책을 업데이트하는 경우 시스템 생성 이름을 제공해야 합니다.

  • FOLDER_ID: 폴더의 ID

    상위 항목이 폴더인 정책을 만들려면 폴더 ID를 지정합니다. 정책은 폴더가 포함된 조직 또는 해당 조직 내의 폴더와 연결할 수 있습니다.

정책을 조직 또는 폴더와 연결

조직의 계층식 방화벽 정책을 조직 또는 폴더와 연결하면 사용 중지된 규칙을 제외하고 각 규칙의 대상에 따라 방화벽 정책의 규칙이 연결된 조직 또는 폴더의 프로젝트에 있는 VPC 네트워크의 리소스에 적용됩니다.

콘솔

  1. Cloud de Confiance 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  3. 정책을 클릭합니다.

  4. 연결 탭을 클릭합니다.

  5. 연결 추가를 클릭합니다.

  6. 조직 루트를 선택하거나 조직 내의 폴더를 선택합니다.

  7. 추가를 클릭합니다.

gcloud

기본적으로 연결이 있는 조직 또는 폴더에 연결 삽입을 시도하면 메서드가 실패합니다. --replace-association-on-target 플래그를 지정하면 새 연결이 생성될 때 기존 연결이 삭제됩니다. 이렇게 하면 전환 중에 리소스가 정책 없이 유지되는 것을 막을 수 있습니다.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

다음을 바꿉니다.

  • POLICY_NAME: 닉네임 또는 시스템에서 생성된 정책 이름
  • ORG_ID: 조직의 ID
  • FOLDER_ID: 정책을 폴더와 연결하는 경우 여기에서 지정하고, 정책을 조직 수준에 연결하는 경우에는 생략합니다.
  • ASSOCIATION_NAME: 연결의 이름(선택사항). 지정하지 않으면 이름이 '조직 ORG_ID' 또는 '폴더 FOLDER_ID'로 설정됩니다.

방화벽 정책 규칙 태스크

이 섹션에서는 계층적 방화벽 정책 규칙을 만드는 방법을 설명합니다.

VM 타겟의 인그레스 규칙 만들기

이 섹션에서는 Compute Engine 인스턴스의 네트워크 인터페이스에 적용되는 수신 규칙을 만드는 방법을 설명합니다.

콘솔

  1. Cloud de Confiance 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 목록에서 계층적 방화벽 정책이 포함된 조직 또는 폴더를 선택합니다.

  3. 필요한 경우 계층 구조 색인 섹션에서 하위 폴더를 선택합니다.

  4. 방화벽 정책 섹션에서 규칙을 만들려는 계층적 방화벽 정책의 이름을 클릭합니다.

  5. 방화벽 규칙 섹션에서 방화벽 규칙 만들기를 클릭하고 다음 구성 매개변수를 지정합니다.

    1. 우선순위: 규칙의 평가 순서(번호순)입니다.

      규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이 (예: 100, 200, 300)로 구분하는 것이 좋습니다.

    2. 설명: 원하는 경우 설명을 제공합니다.

    3. 트래픽 방향: 인그레스를 선택합니다.

    4. 일치 시 작업: 다음 중 하나를 선택합니다.

      • 허용: 규칙 매개변수와 일치하는 연결을 허용합니다.
      • 거부: 규칙 매개변수와 일치하는 연결을 차단합니다.
      • 다음으로 이동: 방화벽 규칙 평가 프로세스를 계속합니다.
      • 보안 프로필 그룹 적용: 선택한 용도에 따라 패킷을 방화벽 엔드포인트 또는 인터셉트 엔드포인트 그룹으로 전송합니다.
        • 패킷을 Cloud NGFW 방화벽 엔드포인트로 전송하려면 Cloud NGFW Enterprise를 선택한 다음 보안 프로필 그룹을 선택합니다. 패킷의 TLS 검사를 사용 설정하려면 TLS 검사 사용 설정을 선택합니다.
        • 대역 내 통합을 위해 네트워크 보안 통합 인터셉트 엔드포인트 그룹에 패킷을 전송하려면 NSI 대역 내를 선택한 다음 보안 프로필 그룹을 선택합니다.

    5. 로그: 사용을 선택하여 방화벽 규칙 로깅을 사용 설정하거나 사용 중지를 선택하여 이 규칙의 방화벽 규칙 로깅을 사용 중지합니다.

    6. 타겟 네트워크: 선택적으로 특정 VPC 네트워크의 타겟에 방화벽 정책을 적용하려면 네트워크 추가를 클릭한 다음 프로젝트네트워크를 선택합니다.

    7. 타겟: 다음 중 하나를 선택합니다.

      • 모두에 적용: Cloud NGFW는 가장 광범위한 인스턴스 타겟을 사용합니다.
      • 서비스 계정: 가장 광범위한 인스턴스 타겟을 타겟 서비스 계정에 지정한 서비스 계정을 사용하는 VM 인스턴스의 네트워크 인터페이스로 좁힙니다.
      • 보안 태그: 가장 광범위한 인스턴스 타겟을 지정된 보안 태그 값 중 하나 이상에 바인딩된 VM 인스턴스의 네트워크 인터페이스로 좁힙니다. 태그 범위 선택을 클릭하고 일치시킬 태그 값이 포함된 조직 또는 프로젝트를 선택합니다. 태그 값을 더 추가하려면 태그 추가를 클릭합니다.

    8. 소스 네트워크 컨텍스트: 네트워크 컨텍스트를 지정합니다.

      • 네트워크 컨텍스트별로 인바운드 트래픽을 필터링하지 않으려면 모든 네트워크 컨텍스트를 선택합니다.
      • 특정 네트워크 컨텍스트로의 인바운드 트래픽을 필터링하려면 특정 네트워크 컨텍스트를 선택한 다음 네트워크 컨텍스트를 선택합니다.

    9. 소스 필터: 추가 소스 매개변수를 지정합니다. 일부 소스 매개변수는 함께 사용할 수 없으며, 선택한 소스 네트워크 컨텍스트에 따라 사용할 수 있는 소스 매개변수가 제한됩니다. 자세한 내용은 인그레스 규칙의 소스인그레스 규칙 소스 조합을 참고하세요.

      • 소스 IPv4 범위를 기준으로 인바운드 트래픽을 필터링하려면 IPv4를 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에 0.0.0.0/0을 사용합니다.
      • 소스 IPv6 범위를 기준으로 인바운드 트래픽을 필터링하려면 IPv6을 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에 ::/0을 사용합니다.
      • 소스 보안 태그 값으로 인바운드 트래픽을 필터링하려면 보안 태그 섹션에서 태그 범위 선택을 선택합니다. 그런 다음 태그 키와 태그 값을 제공합니다. 태그 값을 더 추가하려면 태그 추가를 클릭합니다.
      • 소스 FQDN을 기준으로 인바운드 트래픽을 필터링하려면 FQDN 필드에 FQDN을 입력합니다. 자세한 내용은 FQDN 객체를 참고하세요.
      • 소스 위치정보로 인바운드 트래픽을 필터링하려면 위치정보 필드에서 하나 이상의 위치를 선택합니다. 자세한 내용은 위치정보 객체를 참고하세요.
      • 소스 주소 그룹별로 인바운드 트래픽을 필터링하려면 주소 그룹 필드에서 주소 그룹을 하나 이상 선택합니다. 자세한 내용은 방화벽 정책의 주소 그룹을 참고하세요.

    10. 대상: 선택적 대상 매개변수를 지정합니다. 자세한 내용은 인그레스 규칙의 대상을 참고하세요.

      • 대상 IP 주소별로 인바운드 트래픽을 필터링하지 않으려면 없음을 선택합니다.
      • 대상 IP 주소를 기준으로 인바운드 트래픽을 필터링하려면 IPv4 또는 IPv6를 선택한 다음 소스 IPv4 범위 또는 소스 IPv6 범위에 사용된 것과 동일한 형식을 사용하여 하나 이상의 CIDR을 입력합니다.

    11. 프로토콜 및 포트: 규칙과 일치하는 트래픽의 프로토콜 및 대상 포트를 지정합니다. 자세한 내용은 프로토콜 및 포트를 참고하세요.

    12. 강제 시행: 방화벽 규칙이 강제 시행되는지 여부를 지정합니다.

      • 사용 설정됨: 규칙을 만들고 새 연결에 규칙을 적용하기 시작합니다.
      • 사용 중지됨: 규칙을 만들지만 새 연결에 규칙을 적용하지 않습니다.

  6. 만들기를 클릭합니다.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-context=SRC_NETWORK_CONTEXT] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

다음을 바꿉니다.

  • PRIORITY: 정책 내 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다(예: 100, 200, 300).
  • POLICY_NAME: 규칙을 만들려는 계층적 방화벽 정책의 이름
  • ORG_ID: 상위 항목이 조직인 경우 계층적 방화벽 정책이 포함된 조직 ID입니다.
  • FOLDER_ID: 상위 항목이 폴더인 경우 계층적 방화벽 정책을 포함하는 폴더 ID입니다.
  • DESCRIPTION: 새 규칙에 대한 설명입니다(선택사항).
  • ACTION: 다음 작업 중 하나를 지정합니다.

    • allow: 규칙과 일치하는 연결을 허용합니다.
    • deny: 규칙과 일치하는 연결을 거부합니다.
    • goto_next: 방화벽 규칙 평가 프로세스를 계속합니다.
    • apply_security_profile_group: 방화벽 엔드포인트 또는 인터셉트 엔드포인트 그룹으로 패킷을 전송합니다.
      • 작업이 apply_security_profile_group인 경우 --security-profile-group SECURITY_PROFILE_GROUP를 포함해야 합니다. 여기서 SECURITY_PROFILE_GROUP보안 프로필 그룹의 이름입니다.
      • 보안 프로필 그룹의 보안 프로필은 인밴드 통합을 위해 Cloud NGFW 방화벽 엔드포인트 또는 네트워크 보안 통합 인터셉트 엔드포인트 그룹을 참조할 수 있습니다.
      • 보안 프로필 그룹의 보안 프로필이 Cloud NGFW 방화벽 엔드포인트를 참조하는 경우 --tls-inspect 또는 --no-tls-inspect을 포함하여 TLS 검사를 사용 설정하거나 사용 중지합니다.
  • --enable-logging--no-enable-logging 플래그는 VPC 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.
  • --disabled--no-disabled 플래그는 규칙이 사용 중지 (적용되지 않음)인지 사용 설정 (적용됨)인지를 제어합니다.
  • 대상을 지정합니다.

    • --target-resources, --target-secure-tags, --target-service-accounts 플래그를 생략하면 Cloud NGFW에서 가장 광범위한 인스턴스 타겟을 사용합니다.
    • TARGET_NETWORKS: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 형식의 네트워크 리소스 URL로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다. --target-resources 플래그는 단독으로 사용하거나 다른 타겟 플래그와 함께 사용할 수 있습니다. 자세한 내용은 특정 타겟 조합을 참고하세요.
    • TARGET_SECURE_TAGS: 가장 광범위한 인스턴스 타겟을 하나 이상의 보안 태그 값에 바인딩된 VM 인스턴스의 네트워크 인터페이스로 좁히는 보안 태그 값의 쉼표로 구분된 목록입니다.
    • TARGET_SERVICE_ACCOUNTS: 가장 광범위한 인스턴스 타겟을 서비스 계정 중 하나를 사용하는 VM 인스턴스의 네트워크 인터페이스로 좁히는 쉼표로 구분된 서비스 계정 목록입니다.
  • LAYER_4_CONFIGS: 쉼표로 구분된 레이어 4 구성 목록입니다. 각 레이어 4 구성은 다음 중 하나일 수 있습니다.
    • 대상 포트가 없는 IP 프로토콜 이름 (tcp) 또는 IANA IP 프로토콜 번호 (17)입니다.
    • 콜론(tcp:80)으로 구분된 IP 프로토콜 이름과 대상 포트입니다.
    • IP 프로토콜 이름과 대상 포트 범위가 콜론으로 구분되고 대시를 사용하여 시작 및 종료 대상 포트가 구분됩니다(tcp:5000-6000). 자세한 내용은 프로토콜 및 포트를 참고하세요.
  • 인그레스 규칙의 소스를 지정합니다. 자세한 내용은 인그레스 규칙 소스 조합을 참고하세요.

    • SRC_NETWORK_CONTEXT: 지원되는 다른 소스 매개변수와 함께 사용하여 소스 조합을 생성할 소스 네트워크 컨텍스트를 정의합니다. --target-type=INSTANCES인 경우 유효한 값은 INTERNET, NON_INTERNET, VPC_NETWORKS, INTRA_VPC입니다. 자세한 내용은 네트워크 컨텍스트를 참고하세요.
    • SRC_VPC_NETWORKS: URL 식별자로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다. --src-network-contextVPC_NETWORKS인 경우에만 이 플래그를 지정하세요.
    • SRC_IP_RANGES: CIDR 형식의 쉼표로 구분된 IP 주소 범위 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
    • SRC_ADDRESS_GROUPS: 고유 URL 식별자로 지정된 주소 그룹의 쉼표로 구분된 목록입니다. 목록의 주소 그룹에는 모든 IPv4 주소 또는 모든 IPv6 주소가 포함되어야 하며, 두 주소를 조합할 수 없습니다.
    • SRC_DOMAIN_NAMES: 도메인 이름 형식에 지정된 FQDN 객체의 쉼표로 구분된 목록입니다.
    • SRC_SECURE_TAGS: 쉼표로 구분된 태그 목록입니다. --src-network-contextINTERNET인 경우 --src-secure-tags 플래그를 사용할 수 없습니다.
    • SRC_COUNTRY_CODES: 쉼표로 구분된 두 글자 국가 코드 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요. --src-network-contextNON_INTERNET, VPC_NETWORKS 또는 INTRA_VPC인 경우 --src-region-codes 플래그를 사용할 수 없습니다.
  • 선택적으로 인그레스 규칙의 대상을 지정합니다.

    • DEST_IP_RANGES: CIDR 형식의 쉼표로 구분된 IP 주소 범위 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.

VM 타겟에 대한 이그레스 규칙 만들기

다음 안내에서는 이그레스 규칙을 만드는 방법을 보여줍니다. 이그레스 규칙은 Compute Engine 인스턴스의 네트워크 인터페이스인 타겟에만 적용됩니다.

콘솔

  1. Cloud de Confiance 콘솔에서 방화벽 정책 페이지로 이동합니다.

    방화벽 정책으로 이동

  2. 프로젝트 선택기 목록에서 계층적 방화벽 정책이 포함된 조직 또는 폴더를 선택합니다.

  3. 필요한 경우 계층 구조 색인 섹션에서 하위 폴더를 선택합니다.

  4. 방화벽 정책 섹션에서 규칙을 만들려는 계층적 방화벽 정책의 이름을 클릭합니다.

  5. 방화벽 규칙 섹션에서 방화벽 규칙 만들기를 클릭하고 다음 구성 매개변수를 지정합니다.

    1. 우선순위: 규칙의 평가 순서(번호순)입니다.

      규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이 (예: 100, 200, 300)로 구분하는 것이 좋습니다.

    2. 설명: 원하는 경우 설명을 제공합니다.

    3. 트래픽 방향: 이그레스를 선택합니다.

    4. 일치 시 작업: 다음 중 하나를 선택합니다.

      • 허용: 규칙 매개변수와 일치하는 연결을 허용합니다.
      • 거부: 규칙 매개변수와 일치하는 연결을 차단합니다.
      • 다음으로 이동: 방화벽 규칙 평가 프로세스를 계속합니다.
      • 보안 프로필 그룹 적용: 선택한 용도에 따라 패킷을 방화벽 엔드포인트 또는 인터셉트 엔드포인트 그룹으로 전송합니다.
        • 패킷을 Cloud NGFW 방화벽 엔드포인트로 전송하려면 Cloud NGFW Enterprise를 선택한 다음 보안 프로필 그룹을 선택합니다. 패킷의 TLS 검사를 사용 설정하려면 TLS 검사 사용 설정을 선택합니다.
        • 대역 내 통합을 위해 네트워크 보안 통합 인터셉트 엔드포인트 그룹에 패킷을 전송하려면 NSI 대역 내를 선택한 다음 보안 프로필 그룹을 선택합니다.

    5. 로그: 사용을 선택하여 방화벽 규칙 로깅을 사용 설정하거나 사용 중지를 선택하여 이 규칙의 방화벽 규칙 로깅을 사용 중지합니다.

    6. 타겟 네트워크: 선택적으로 특정 VPC 네트워크의 타겟에 방화벽 정책을 적용하려면 네트워크 추가를 클릭한 다음 프로젝트네트워크를 선택합니다.

    7. 타겟: 다음 중 하나를 선택합니다.

      • 모두에 적용: Cloud NGFW는 가장 광범위한 인스턴스 타겟을 사용합니다.
      • 서비스 계정: 가장 광범위한 인스턴스 타겟을 타겟 서비스 계정에 지정한 서비스 계정을 사용하는 VM 인스턴스의 네트워크 인터페이스로 좁힙니다.
      • 보안 태그: 가장 광범위한 인스턴스 타겟을 지정된 보안 태그 값 중 하나 이상에 바인딩된 VM 인스턴스의 네트워크 인터페이스로 좁힙니다. 태그 범위 선택을 클릭하고 일치시킬 태그 값이 포함된 조직 또는 프로젝트를 선택합니다. 태그 값을 더 추가하려면 태그 추가를 클릭합니다.

    8. 대상 네트워크 컨텍스트: 네트워크 컨텍스트를 지정합니다.

    9. 대상 필터: 추가 대상 매개변수를 지정합니다. 일부 대상 매개변수는 함께 사용할 수 없으며, 선택한 대상 네트워크 컨텍스트에 따라 사용할 수 있는 대상 필터가 제한됩니다. 자세한 내용은 이그레스 규칙의 대상이그레스 규칙 대상 조합을 참고하세요.

      • 대상 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에 0.0.0.0/0을 사용합니다.
      • 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6를 선택한 다음 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에 ::/0을 사용합니다.
      • 대상 FQDN을 기준으로 나가는 트래픽을 필터링하려면 FQDN 필드에 FQDN을 입력합니다. 자세한 내용은 FQDN 객체를 참고하세요.
      • 대상 위치정보로 나가는 트래픽을 필터링하려면 위치정보 필드에서 하나 이상의 위치를 선택합니다. 자세한 내용은 위치정보 객체를 참고하세요.
      • 대상 주소 그룹별로 아웃바운드 트래픽을 필터링하려면 주소 그룹 필드에서 주소 그룹을 하나 이상 선택합니다. 자세한 내용은 방화벽 정책의 주소 그룹을 참고하세요.

    10. 소스: 선택적 소스 매개변수를 지정합니다. 자세한 내용은 이그레스 규칙의 소스를 참고하세요.

      • 소스 IP 주소별로 나가는 트래픽을 필터링하지 않으려면 없음을 선택합니다.
      • 소스 IP 주소를 기준으로 나가는 트래픽을 필터링하려면 IPv4 또는 IPv6를 선택한 다음 대상 IPv4 범위 또는 대상 IPv6 범위에 사용된 것과 동일한 형식을 사용하여 하나 이상의 CIDR을 입력합니다.

    11. 프로토콜 및 포트: 규칙과 일치하는 트래픽의 프로토콜 및 대상 포트를 지정합니다. 자세한 내용은 프로토콜 및 포트를 참고하세요.

    12. 강제 시행: 방화벽 규칙이 강제 시행되는지 여부를 지정합니다.

      • 사용 설정됨: 규칙을 만들고 새 연결에 규칙을 적용하기 시작합니다.
      • 사용 중지됨: 규칙을 만들지만 새 연결에 규칙을 적용하지 않습니다.

  6. 만들기를 클릭합니다.

gcloud 

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-context=DEST_NETWORK_CONTEXT] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

다음을 바꿉니다.

  • PRIORITY: 정책 내 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 기존 규칙 사이에 새 규칙을 만들 수 있도록 규칙 우선순위 값을 1보다 큰 차이로 구분하는 것이 좋습니다(예: 100, 200, 300).
  • POLICY_NAME: 규칙을 만들려는 계층적 방화벽 정책의 이름
  • ORG_ID: 상위 항목이 조직인 경우 계층적 방화벽 정책이 포함된 조직 ID입니다.
  • FOLDER_ID: 상위 항목이 폴더인 경우 계층적 방화벽 정책을 포함하는 폴더 ID입니다.
  • DESCRIPTION: 새 규칙에 대한 설명입니다(선택사항).
  • ACTION: 다음 작업 중 하나를 지정합니다.

    • allow: 규칙과 일치하는 연결을 허용합니다.
    • deny: 규칙과 일치하는 연결을 거부합니다.
    • goto_next: 방화벽 규칙 평가 프로세스를 계속합니다.
    • apply_security_profile_group: 방화벽 엔드포인트 또는 인터셉트 엔드포인트 그룹으로 패킷을 전송합니다.
      • 작업이 apply_security_profile_group인 경우 --security-profile-group SECURITY_PROFILE_GROUP를 포함해야 합니다. 여기서 SECURITY_PROFILE_GROUP보안 프로필 그룹의 이름입니다.
      • 보안 프로필 그룹의 보안 프로필은 인밴드 통합을 위해 Cloud NGFW 방화벽 엔드포인트 또는 네트워크 보안 통합 인터셉트 엔드포인트 그룹을 참조할 수 있습니다.
      • 보안 프로필 그룹의 보안 프로필이 Cloud NGFW 방화벽 엔드포인트를 참조하는 경우 --tls-inspect 또는 --no-tls-inspect을 포함하여 TLS 검사를 사용 설정하거나 사용 중지합니다.
  • --enable-logging--no-enable-logging 플래그는 VPC 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.
  • --disabled--no-disabled 플래그는 규칙이 사용 중지 (적용되지 않음)인지 사용 설정 (적용됨)인지를 제어합니다.
  • 대상을 지정합니다.

    • --target-resources, --target-secure-tags, --target-service-accounts 플래그를 생략하면 Cloud NGFW에서 가장 광범위한 인스턴스 타겟을 사용합니다.
    • TARGET_NETWORKS: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 형식의 네트워크 리소스 URL로 지정된 VPC 네트워크의 쉼표로 구분된 목록입니다. --target-resources 플래그는 단독으로 사용하거나 다른 타겟 플래그와 함께 사용할 수 있습니다. 자세한 내용은 특정 타겟 조합을 참고하세요.
    • TARGET_SECURE_TAGS: 가장 광범위한 인스턴스 타겟을 하나 이상의 보안 태그 값에 바인딩된 VM 인스턴스의 네트워크 인터페이스로 좁히는 보안 태그 값의 쉼표로 구분된 목록입니다.
    • TARGET_SERVICE_ACCOUNTS: 가장 광범위한 인스턴스 타겟을 서비스 계정 중 하나를 사용하는 VM 인스턴스의 네트워크 인터페이스로 좁히는 쉼표로 구분된 서비스 계정 목록입니다.
  • LAYER_4_CONFIGS: 쉼표로 구분된 레이어 4 구성 목록입니다. 각 레이어 4 구성은 다음 중 하나일 수 있습니다.
    • 대상 포트가 없는 IP 프로토콜 이름 (tcp) 또는 IANA IP 프로토콜 번호 (17)입니다.
    • 콜론(tcp:80)으로 구분된 IP 프로토콜 이름과 대상 포트입니다.
    • IP 프로토콜 이름과 대상 포트 범위가 콜론으로 구분되고 대시를 사용하여 시작 및 종료 대상 포트가 구분됩니다(tcp:5000-6000). 자세한 내용은 프로토콜 및 포트를 참고하세요.
  • 이그레스 규칙의 대상을 지정합니다. 자세한 내용은 이그레스 규칙 대상 조합을 참고하세요.

    • DEST_NETWORK_CONTEXT: 다른 지원되는 대상 매개변수와 함께 사용하여 대상 조합을 생성할 대상 네트워크 컨텍스트를 정의합니다. 유효한 값은 INTERNETNON_INTERNET입니다. 자세한 내용은 네트워크 컨텍스트를 참고하세요.
    • DEST_IP_RANGES: CIDR 형식의 쉼표로 구분된 IP 주소 범위 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.
    • DEST_ADDRESS_GROUPS: 고유 URL 식별자로 지정된 주소 그룹의 쉼표로 구분된 목록입니다.
    • DEST_DOMAIN_NAMES: 도메인 이름 형식에 지정된 FQDN 객체의 쉼표로 구분된 목록입니다.
    • DEST_COUNTRY_CODES: 쉼표로 구분된 두 글자 국가 코드 목록입니다. 자세한 내용은 위치정보 객체를 참고하세요.
  • 원하는 경우 이그레스 규칙의 소스를 지정합니다.

    • SRC_IP_RANGES: CIDR 형식의 쉼표로 구분된 IP 주소 범위 목록입니다. 목록의 범위는 모두 IPv4 CIDR 또는 IPv6 CIDR이어야 하며, 두 주소를 조합할 수 없습니다.

다음 단계