안녕하세요,
베스핀글로벌 GCP Support팀입니다.
이번 아티클에서는 주제로 "방화벽 규칙 생성 방법"을 다루고자 합니다.
방화벽 규칙 생성
방화벽 규칙은 네트워크 수준에서 정의되며 VPC 네트워크 적용됩니다.
방화벽 규칙을 생성하려면 다음 단계를 따르세요.
※ 아래 예시는 Ingress 방화벽 규칙에 대한 예시입니다.
GCP 콘솔에서 Network Security > Firewall policies로 이동 후 상단의 "Create Firewall Rule" 버튼을 클릭합니다.
다음 필드를 입력합니다.
1) 이름: 방화벽 규칙의 이름
2) 설명: 방화벽 규칙의 설명(선택 사항)
3) 네트워크: 방화벽 규칙이 적용될 네트워크
4) 우선순위 : 방화벽 규칙이 적용되는 우선순위(Default는 1000)
5) 로그 : 방화벽 로그의 활성화 / 비활성화 여부(Default는 off)
6) 방향: 방화벽 규칙이 적용될 트래픽의 방향(들어오는 또는 나가는)
7) 대상: 방화벽 규칙이 적용될 대상 사용(아래 옵션 중 한가지를 선택)
- 태그 : 지정된 네트워크 태그를 가진 인스턴스를 대상으로 지정
- 서비스 계정 : 특정 서비스 계정을 사용중인 인스턴스를 대상으로 지정
- 네트워크 내 모든 인스턴스
8) 소스 IP 범위: 방화벽 규칙이 적용될 트래픽의 소스 IP 범위
9) 대상 IP 범위: 방화벽 규칙이 적용될 트래픽의 대상 IP 범위(Default는 none)
10) 프로토콜 및 포트: 방화벽 규칙이 적용될 트래픽의 프로토콜(TCP, UDP, ICMP 등) 과 포트를 지정
위 값에 대해 설정이 완료되었으면 "생성" 버튼을 클릭하여 방화벽 규칙을 생성합니다.
방화벽 규칙 관련 주의사항 및 권고사항
아래는 방화벽 규칙 관련 주의사항입니다.
- 방화벽 규칙은 VPC 단위로 적용됩니다.
- 방화벽 규칙은 우선순위가 낮은 순서대로 적용됩니다.
- 방화벽 규칙은 스테이트풀이며 어떤 방향으로든 방화벽을 통해 연결이 허용되는 경우 이 연결과 일치하는 반환 트래픽도 허용됩니다.
- 각 방화벽 규칙은 IPv4 또는 IPv6 범위 중 하나를 포함할 수 있지만 둘 다 포함할 수는 없습니다.
- 방화벽에는 묵시적으로 가장 우선 순위가 낮은 모든 이그레스를 허용하는 규칙과 모든 인그레스를 거부하는 규칙이 포함되어 있으나 콘솔상에는 표시되지 않습니다.[2]
아래는 방화벽 규칙 관련 권장사항입니다.
- 최소 권한 원칙을 구현합니다. 기본적으로 모든 트래픽을 차단하고 필요한 특정 트래픽만 허용합니다. 여기에는 필요한 프로토콜 및 포트로만 규칙을 제한하는 것이 포함됩니다.
- 계층식 방화벽 정책 규칙을 사용하여 허용되어서는 안 되는 트래픽을 조직 또는 폴더 수준에서 차단합니다.
- '허용' 규칙의 경우 VM의 서비스 계정을 지정하여 특정 VM으로 제한합니다.
- IP 주소를 기반으로 규칙을 만들어야 하는 경우 규칙 수를 최소화합니다. 16개의 개별 규칙을 추적하는 것보다 16개의 VM 범위로 들어오는 트래픽을 허용하는 규칙 한 개를 추적하는 것이 더 쉽습니다.
- 방화벽 규칙 로깅을 사용하고 방화벽 통계를 사용하여 방화벽 규칙이 의도한 방식으로 사용되고 있는지 확인합니다. 방화벽 규칙 로깅은 비용이 발생할 수 있으므로 선택적으로 사용하는 것이 좋습니다.
참조 링크
[1] 방화벽 규칙 생성
https://cloud.google.com/firewall/docs/using-firewalls?#creating_firewall_rules
[2] 방화벽의 묵시적인 규칙
https://cloud.google.com/vpc/docs/firewalls#default_firewall_rules
관련 문의사항이 있으시면 Support Portal에 문의해 주시기 바랍니다.
감사합니다.