[Network Security] 방화벽 규칙 생성은 어떻게 하나요? : 베스핀글로벌

안녕하세요,

베스핀글로벌 GCP Support팀입니다.

이번 아티클에서는 주제로 "방화벽 규칙 생성 방법"을 다루고자 합니다.

방화벽 규칙 생성

방화벽 규칙은 네트워크 수준에서 정의되며 VPC 네트워크 적용됩니다.

방화벽 규칙을 생성하려면 다음 단계를 따르세요.

※ 아래 예시는 Ingress 방화벽 규칙에 대한 예시입니다.

GCP 콘솔에서 Network Security > Firewall policies로 이동 후 상단의 "Create Firewall Rule" 버튼을 클릭합니다.

다음 필드를 입력합니다.

1) 이름: 방화벽 규칙의 이름

2) 설명: 방화벽 규칙의 설명(선택 사항)

3) 네트워크: 방화벽 규칙이 적용될 네트워크

4) 우선순위 : 방화벽 규칙이 적용되는 우선순위(Default는 1000)

5) 로그 : 방화벽 로그의 활성화 / 비활성화 여부(Default는 off)

6) 방향: 방화벽 규칙이 적용될 트래픽의 방향(들어오는 또는 나가는)

7) 대상: 방화벽 규칙이 적용될 대상 사용(아래 옵션 중 한가지를 선택)

8) 소스 IP 범위: 방화벽 규칙이 적용될 트래픽의 소스 IP 범위

9) 대상 IP 범위: 방화벽 규칙이 적용될 트래픽의 대상 IP 범위(Default는 none)

10) 프로토콜 및 포트: 방화벽 규칙이 적용될 트래픽의 프로토콜(TCP, UDP, ICMP 등) 과 포트를 지정

위 값에 대해 설정이 완료되었으면 "생성" 버튼을 클릭하여 방화벽 규칙을 생성합니다.

아래는 방화벽 규칙 관련 주의사항입니다.

방화벽 규칙은 VPC 단위로 적용됩니다.
방화벽 규칙은 우선순위가 낮은 순서대로 적용됩니다.
방화벽 규칙은 스테이트풀이며 어떤 방향으로든 방화벽을 통해 연결이 허용되는 경우 이 연결과 일치하는 반환 트래픽도 허용됩니다.
각 방화벽 규칙은 IPv4 또는 IPv6 범위 중 하나를 포함할 수 있지만 둘 다 포함할 수는 없습니다.
방화벽에는 묵시적으로 가장 우선 순위가 낮은 모든 이그레스를 허용하는 규칙과 모든 인그레스를 거부하는 규칙이 포함되어 있으나 콘솔상에는 표시되지 않습니다.[2]

아래는 방화벽 규칙 관련 권장사항입니다.

최소 권한 원칙을 구현합니다. 기본적으로 모든 트래픽을 차단하고 필요한 특정 트래픽만 허용합니다. 여기에는 필요한 프로토콜 및 포트로만 규칙을 제한하는 것이 포함됩니다.
계층식 방화벽 정책 규칙을 사용하여 허용되어서는 안 되는 트래픽을 조직 또는 폴더 수준에서 차단합니다.
'허용' 규칙의 경우 VM의 서비스 계정을 지정하여 특정 VM으로 제한합니다.
IP 주소를 기반으로 규칙을 만들어야 하는 경우 규칙 수를 최소화합니다. 16개의 개별 규칙을 추적하는 것보다 16개의 VM 범위로 들어오는 트래픽을 허용하는 규칙 한 개를 추적하는 것이 더 쉽습니다.
방화벽 규칙 로깅을 사용하고 방화벽 통계를 사용하여 방화벽 규칙이 의도한 방식으로 사용되고 있는지 확인합니다. 방화벽 규칙 로깅은 비용이 발생할 수 있으므로 선택적으로 사용하는 것이 좋습니다.

[1] 방화벽 규칙 생성

[2] 방화벽의 묵시적인 규칙

관련 문의사항이 있으시면 Support Portal에 문의해 주시기 바랍니다.

감사합니다.