전역 네트워크 방화벽 정책 및 규칙 사용

이 페이지에서는 사용자가 전역 네트워크 방화벽 정책 개요에 설명된 개념에 익숙하다고 가정합니다.

방화벽 정책 작업

전역 네트워크 방화벽 정책 만들기

프로젝트에 있는 모든 가상 프라이빗 클라우드(VPC) 네트워크에 대한 정책을 만들 수 있습니다. 정책을 만든 후 해당 정책을 프로젝트의 모든 VPC 네트워크에 연결할 수 있습니다. 연결된 후에는 연결된 네트워크에 있는 가상 머신(VM) 인스턴스의 정책 규칙이 활성화됩니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.create

역할

정책을 만들려는 프로젝트에 대한 compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 목록에서 조직 내의 프로젝트를 선택합니다.
방화벽 정책 만들기를 클릭합니다.
이름 필드에 정책 이름을 입력합니다.
배포 범위에서 전역을 선택합니다.
정책에 대한 규칙을 만들려면 계속을 클릭한 다음 규칙 추가를 클릭합니다.

자세한 내용은 전역 네트워크 방화벽 규칙 만들기를 참조하세요.
정책을 네트워크와 연결하려면 계속을 클릭한 다음 정책을 VPC 네트워크와 연결을 클릭합니다.

자세한 내용은 정책을 네트워크와 연결을 참조하세요.
만들기를 클릭합니다.

gcloud

gcloud compute network-firewall-policies create \
    NETWORK_FIREWALL_POLICY_NAME \
    --description DESCRIPTION --global

다음을 바꿉니다.

NETWORK_FIREWALL_POLICY_NAME: 정책 이름
DESCRIPTION: 정책에 대한 설명

정책을 네트워크와 연결

정책을 네트워크와 연결하여 해당 네트워크에 있는 모든 VM의 정책 규칙을 활성화합니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

방화벽 정책에 대한 compute.firewallPolicies.addAssociation

역할

compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
정책을 클릭합니다.
연결 탭을 클릭합니다.
연결 추가를 클릭합니다.
프로젝트에 있는 네트워크를 선택합니다.
연결을 클릭합니다.

gcloud

gcloud compute network-firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --network NETWORK_NAME \
    [ --name ASSOCIATION_NAME ] \
    --global-firewall-policy

다음을 바꿉니다.

POLICY_NAME: 닉네임 또는 시스템에서 생성된 정책 이름입니다.
NETWORK_NAME: 네트워크의 이름입니다.
ASSOCIATION_NAME: 연결에 대한 선택적인 이름입니다. 지정하지 않으면 이름이 network-NETWORK_NAME으로 설정됩니다.

전역 네트워크 방화벽 정책 설명

모든 방화벽 규칙을 포함한 정책의 모든 세부정보를 볼 수 있습니다. 또한 정책의 모든 규칙에 있는 여러 속성을 볼 수 있습니다. 이러한 속성은 각 정책의 한도에 반영됩니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.get

역할

compute.networkAdmin

또는

프로젝트에 대한 compute.securityAdmin 권한

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 전역 네트워크 방화벽 정책이 포함된 프로젝트를 선택합니다.
정책을 클릭합니다.

gcloud

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

전역 네트워크 방화벽 정책 설명 업데이트

업데이트할 수 있는 유일한 정책 필드는 설명 필드입니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.update

역할

compute.networkAdmin 또는
정책이 있는 프로젝트 또는 정책 자체에 대한 compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 전역 네트워크 방화벽 정책이 포함된 프로젝트를 선택합니다.
정책을 클릭합니다.
수정을 클릭합니다.
설명 필드에서 텍스트를 변경합니다.
저장을 클릭합니다.

gcloud

gcloud compute network-firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --global

전역 네트워크 방화벽 정책 나열

프로젝트에서 사용 가능한 정책 목록을 볼 수 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.list

역할

compute.securityAdmin

또는

compute.networkAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.

네트워크 방화벽 정책 섹션에 프로젝트에서 사용할 수 있는 정책이 표시됩니다.

gcloud

gcloud compute network-firewall-policies list --global

전역 네트워크 방화벽 정책 삭제

전역 네트워크 방화벽 정책을 삭제하려면 먼저 전역 네트워크 방화벽 정책의 모든 연결을 삭제해야 합니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.delete

역할

compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
삭제할 정책을 클릭합니다.
연결 탭을 클릭합니다.
모든 연결을 선택합니다.
연결 삭제를 클릭합니다.
연결을 모두 삭제한 후 삭제를 클릭합니다.

gcloud

방화벽 정책과 연결된 네트워크를 모두 나열합니다.

gcloud compute network-firewall-policies describe POLICY_NAME \
    --global

개별 연결을 삭제합니다. 연결을 삭제하려면 전역 네트워크 방화벽 정책에 대한 compute.SecurityAdmin 역할과 연결된 VPC 네트워크에 대한 compute.networkAdmin 역할이 있어야 합니다.
```
gcloud compute network-firewall-policies associations delete \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy
```

정책을 삭제합니다.

gcloud compute network-firewall-policies delete POLICY_NAME \
    --global

연결 삭제

네트워크에서 방화벽 정책 시행을 중지하려면 연결을 삭제합니다.

그러나 한 방화벽 정책을 다른 방화벽 정책으로 교체하려는 경우 기존 연결을 먼저 삭제할 필요는 없습니다. 연결을 삭제하면 일정 기간 동안 어떤 정책도 시행되지 않게 됩니다. 대신 새 정책을 연결할 때 기존 정책을 바꿉니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.removeAssociation

역할

compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 프로젝트 또는 정책이 포함된 폴더를 선택합니다.
정책을 클릭합니다.
연결 탭을 클릭합니다.
삭제하려는 연결을 선택합니다.
연결 삭제를 클릭합니다.

gcloud

gcloud compute network-firewall-policies associations delete ASSOCIATION_NAME \
    --name ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

방화벽 정책 규칙 태스크

전역 네트워크 방화벽 규칙 만들기

전역 네트워크 방화벽 정책 규칙은 전역 네트워크 방화벽 정책에서 만들어야 합니다. 규칙이 포함된 정책을 VPC 네트워크와 연결해야 규칙이 활성화됩니다.

각 전역 네트워크 방화벽 정책 규칙에는 IPv4 또는 IPv6 범위 중 하나만 포함될 수 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.update

역할

정책이 포함된 프로젝트 또는 정책 자체에 대한 compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
전역 정책의 이름을 클릭합니다.
방화벽 규칙 탭에서 만들기를 클릭합니다.
규칙 필드를 작성합니다.
1. 우선순위 필드에서 규칙의 순서 번호를 설정합니다. 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 삽입을 허용하는 규칙 우선순위 번호를 지정하는 것이 좋습니다(예: 100, 200, 300).
2. 트래픽 방향에서 인그레스 또는 이그레스를 선택합니다.
3. 일치 시 작업에 다음 옵션 중 하나를 선택합니다.
  1. 허용: 규칙과 일치하는 연결을 허용합니다.
  2. 거부: 규칙과 일치하는 연결을 거부합니다.
  3. 다음으로 이동: 연결 평가를 계층 구조의 다음 하위 방화벽 규칙으로 전달합니다.
  4. L7 검사로 진행: 레이어 7 검사와 방지를 위해 구성된 방화벽 엔드포인트로 패킷을 보냅니다.
    - 보안 프로필 그룹 목록에서 보안 프로필 그룹 이름을 선택합니다.
    - 패킷의 TLS 검사를 사용 설정하려면 TLS 검사 사용 설정을 선택합니다.
4. 로그 컬렉션을 사용 또는 사용 중지로 설정합니다.
5. 규칙의 타겟을 지정합니다. 타겟 유형 필드에서 다음 옵션 중 하나를 선택합니다.
  - 네트워크의 모든 인스턴스에 규칙을 적용하려면 네트워크의 모든 인스턴스를 선택합니다.
  - 태그별로 선택한 인스턴스에 규칙을 적용하려면 보안 태그를 선택합니다. 범위 선택을 클릭하고 태그를 만들려는 조직 또는 프로젝트를 선택합니다. 규칙을 적용할 키-값 쌍을 입력합니다. 키-값 쌍을 더 추가하려면 태그 추가를 클릭합니다.
  - 연결된 서비스 계정별로 선택한 인스턴스에 규칙을 적용하려면 먼저 서비스 계정을 선택한 후 서비스 계정 범위에서 서비스 계정이 현재 프로젝트 또는 다른 프로젝트에 있는지를 지정하고 타겟 서비스 계정 필드에서 서비스 계정 이름을 선택하거나 입력합니다.
6. 인그레스 규칙의 경우 소스 필터를 지정합니다.
  - 소스 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에 0.0.0.0/0을 사용합니다.
  - 소스 IPv6 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv6을 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에 ::/0을 사용합니다.
  - 태그로 소스를 제한하려면 태그 섹션에서 범위 선택을 클릭합니다. 태그를 만들 조직 또는 프로젝트를 선택합니다. 규칙을 적용할 키-값 쌍을 입력합니다. 키-값 쌍을 더 추가하려면 태그 추가를 클릭합니다.
7. 이그레스 규칙의 경우 대상 필터를 지정합니다.
  - 대상 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에 0.0.0.0/0을 사용합니다.
  - 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6을 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에 ::/0을 사용합니다.
8. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 FQDN을 지정합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 FQDN을 선택합니다. 도메인 이름 객체에 대한 자세한 내용은 FQDN 객체를 참조하세요.
9. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 위치정보를 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 위치정보를 선택합니다. 위치정보 객체에 대한 자세한 내용은 위치정보 객체를 참조하세요.
10. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 주소 그룹을 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙을 적용할 대상 주소 그룹을 선택합니다. 주소 그룹에 대한 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.
11. 선택사항: 인그레스 규칙을 만드는 경우 이 규칙이 적용되는 소스 Google Cloud Threat Intelligence 목록을 선택합니다. 이그레스 규칙을 만드는 경우 이 규칙이 적용되는 대상 Google Cloud Threat Intelligence 목록을 선택합니다. Google Threat Intelligence에 대한 자세한 내용은 방화벽 정책 규칙의 Google Threat Intelligence를 참조하세요.
12. 선택사항: 인그레스 규칙에서 대상 필터를 지정합니다.
  - 대상 IPv4 범위를 기준으로 들어오는 트래픽을 필터링하려면 IPv4를 선택하고 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 대상에 0.0.0.0/0을 사용합니다.
  - 대상 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6 범위를 선택하고 대상 IPv6 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 대상에 ::/0을 사용합니다. 자세한 내용은 인그레스 규칙의 대상을 참조하세요.
13. 선택사항: 이그레스 규칙의 경우 소스 필터를 지정합니다.
  - 소스 IPv4 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv4를 선택한 후 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv4 소스에 0.0.0.0/0을 사용합니다.
  - 소스 IPv6 범위를 기준으로 나가는 트래픽을 필터링하려면 IPv6을 선택한 다음 IP 범위 필드에 CIDR 블록을 입력합니다. 모든 IPv6 소스에 ::/0을 사용합니다. 자세한 내용은 이그레스 규칙의 소스를 참조하세요.
14. 프로토콜 및 포트에서 규칙이 모든 프로토콜 및 모든 대상 포트에 적용되도록 지정하거나 규칙을 적용할 특정 프로토콜 및 대상 포트를 지정합니다.
15. 만들기를 클릭합니다.
규칙 추가를 클릭하여 다른 규칙을 추가합니다.
정책을 네트워크와 연결하려면 계속 > VPC 네트워크와 정책 연결을 클릭하거나 만들기를 클릭하여 정책을 만듭니다.

gcloud

gcloud compute network-firewall-policies rules create PRIORITY \
    --action ACTION \
    --firewall-policy POLICY_NAME \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no-tls-inspect] \
    --description DESCRIPTION \
    [--target-secure-tags TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]] \
    [--target-service-accounts=SERVICE_ACCOUNT[,SERVICE_ACCOUNT,...]] \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--src-secure-tags SRC_SECURE_TAG[,SRC_SECURE_TAG,...]] \
    [--dest-ip-ranges IP_RANGES] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]] \
    [--layer4-configs PROTOCOL_PORT] \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    --global-firewall-policy

다음을 바꿉니다.

PRIORITY: 규칙의 평가 순서(번호순)입니다.

규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다. 우선순위는 각 규칙에서 고유해야 합니다. 나중에 삽입을 허용하는 규칙 우선순위 번호를 지정하는 것이 좋습니다(예: 100, 200, 300).
ACTION: 다음 작업 중 하나입니다.
- allow: 규칙과 일치하는 연결을 허용합니다.
- deny: 규칙과 일치하는 연결을 거부합니다.
- apply_security_profile_group: 레이어 7 검사를 위해 구성된 방화벽 엔드포인트로 패킷을 투명하게 전송합니다.
- goto_next: 계층 구조의 다음 수준(폴더 또는 네트워크)으로 연결 평가를 전달합니다.
POLICY_NAME: 전역 네트워크 방화벽 정책의 이름입니다.
SECURITY_PROFILE_GROUP: 레이어 7 검사에 사용되는 보안 프로필 그룹의 이름입니다. apply_security_profile_group 작업을 선택한 경우에만 이 인수를 지정합니다.
--tls-inspect: 규칙에서 apply_security_profile_group 작업을 선택하면 TLS 검사 정책을 사용하여 TLS 트래픽을 검사합니다. 기본적으로 TLS 검사가 중지되거나 --no-tls-inspect를 지정할 수 있습니다.
TARGET_SECURE_TAG: 타겟을 정의하기 위한 쉼표로 구분된 보안 태그입니다.
SERVICE_ACCOUNT: 타겟을 정의하기 위한 쉼표로 구분된 서비스 계정 목록입니다.
DIRECTION: 규칙이 ingress인지 또는 egress인지를 나타내며 기본값은 ingress입니다.
- 트래픽 소스의 IP 주소 범위를 지정하려면 --src-ip-ranges를 포함합니다.
- 트래픽 대상의 IP 주소 범위를 지정하려면 --dest-ip-ranges를 포함합니다.
자세한 내용은 타겟, 소스, 대상을 참조하세요.
SRC_NETWORK_SCOPE: 인그레스 규칙이 적용된 소스 네트워크 트래픽의 범위를 나타냅니다. 이 인수를 다음 값 중 하나로 설정할 수 있습니다.
- INTERNET
- NON_INTERNET
- VPC_NETWORKS
- INTRA_VPC
이 인수의 값을 지우려면 빈 문자열을 사용합니다. 빈 값은 모든 네트워크 범위를 나타냅니다. 자세한 내용은 네트워크 범위 유형 이해를 참조하세요.
SRC_VPC_NETWORK: 쉼표로 구분된 VPC 네트워크 목록

--src-network-scope가 VPC_NETWORKS로 설정된 경우에만 --src-networks를 사용할 수 있습니다.
DEST_NETWORK_SCOPE: 이그레스 규칙이 적용된 대상 네트워크 트래픽의 범위를 나타냅니다. 이 인수를 다음 값 중 하나로 설정할 수 있습니다.
- INTERNET
- NON_INTERNET
이 인수의 값을 지우려면 빈 문자열을 사용합니다. 빈 값은 모든 네트워크 범위를 나타냅니다. 자세한 내용은 네트워크 범위 유형 이해를 참조하세요.
IP_RANGES: 모든 IPv4 주소 범위 또는 모든 IPv6 주소 범위와 같은 쉼표로 구분된 CIDR 형식의 IP 주소 범위 목록입니다.

--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
SRC_SECURE_TAG: 쉼표로 구분된 태그 목록입니다.

네트워크 범위가 INTERNET으로 설정된 경우 소스 보안 태그를 사용할 수 없습니다.
COUNTRY_CODE: 쉼표로 구분된 두 글자 국가 코드 목록입니다.
- 인그레스 방향의 경우 --src-region-code 플래그에 국가 코드를 지정합니다. 이그레스 방향의 경우 또는 --src-network-scope가 NON_INTERNET, VPC_NETWORK, INTRA_VPC로 설정된 경우에는 --src-region-code 플래그를 사용할 수 없습니다.
- 이그레스 방향의 경우 국가 코드가 --dest-region-code 플래그에 지정되며, 인그레스 방향에 대해 --dest-region-code 플래그를 사용할 수 없습니다.
LIST_NAMES: 쉼표로 구분된 Google Threat Intelligence 이름 목록입니다.
- 인그레스 방향의 경우 --src-threat-intelligence 플래그에 소스 Google Threat Intelligence 목록을 지정합니다. 이그레스 방향의 경우 또는 --src-network-scope가 NON_INTERNET, VPC_NETWORK, INTRA_VPC로 설정된 경우에는 --src-threat-intelligence 플래그를 사용할 수 없습니다.
- 이그레스 방향의 경우 --dest-threat-intelligence 플래그에 대상 Google Threat Intelligence 목록을 지정합니다. 인그레스 방향의 경우 --dest-threat-intelligence 플래그를 사용할 수 없습니다.
ADDR_GRP_URL: 주소 그룹의 고유 URL 식별자입니다.
- 인그레스 방향의 경우 --src-address-groups 태그에 소스 주소 그룹을 지정합니다. 이그레스 방향의 경우 --src-address-groups 태그를 사용할 수 없습니다.
- 이그레스 방향의 경우 --dest-address-groups 태그에 대상 주소 그룹을 지정합니다. 인그레스 방향의 경우 --dest-address-groups 태그를 사용할 수 없습니다.
DOMAIN_NAME: 도메인 이름 형식에 설명된 형식으로 표시된 쉼표로 구분된 도메인 이름 목록입니다.
- 인그레스 방향의 경우 --src-fqdns 태그에 소스 도메인 이름을 지정합니다. 이그레스 방향의 경우 --src-fqdns 태그를 사용할 수 없습니다.
- 이그레스 방향의 경우 --dest-fqdns 태그에 대상 주소 그룹을 지정합니다. 인그레스 방향의 경우 --dest-fqdns 태그를 사용할 수 없습니다.
PROTOCOL_PORT: 쉼표로 구분된 프로토콜 이름 또는 번호(tcp,17), 프로토콜 및 대상 포트(tcp:80), 프로토콜 및 대상 포트 범위(tcp:5000-6000)의 목록입니다.

프로토콜 없이 포트나 포트 범위를 지정할 수 없습니다. ICMP의 경우 포트 또는 포트 범위를 지정할 수 없습니다. 예를 들면 다음과 같습니다.--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

자세한 내용은 프로토콜 및 포트를 참조하세요.
--enable-logging 및 --no-enable-logging: 지정된 규칙에 방화벽 규칙 로깅을 사용 설정하거나 중지합니다.
--disabled: 방화벽 규칙이 존재하지만 연결을 처리할 때 고려하지 않음을 나타냅니다. 이 플래그를 생략하면 규칙이 사용 설정됩니다. 또는 --no-disabled를 지정할 수 있습니다.

규칙 업데이트

필드 설명은 전역 네트워크 방화벽 규칙 만들기를 참조하세요.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.get
compute.firewallPolicies.update

역할

compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
정책을 클릭합니다.
규칙의 우선순위를 클릭합니다.
수정을 클릭합니다.
변경하려는 필드를 수정합니다.
저장을 클릭합니다.

gcloud

gcloud compute network-firewall-policies rules update RULE_PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy \
    [...fields you want to modify...]

규칙 설명

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.get

역할

compute.securityAdmin

또는

compute.networkAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
정책을 클릭합니다.
규칙의 우선순위를 클릭합니다.

gcloud

gcloud compute network-firewall-policies rules describe PRIORITY \
    --firewall-policy POLICY_NAME --global-firewall-policy

다음을 바꿉니다.

PRIORITY: 보려는 규칙의 우선순위입니다. 각 규칙에는 고유한 우선순위가 있으므로 이 설정은 규칙을 고유하게 식별합니다.
POLICY_NAME: 규칙이 포함된 정책의 이름입니다.

정책에서 규칙 삭제

정책에서 규칙을 삭제하면 규칙을 상속하는 모든 VM에서 규칙이 삭제됩니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.update

역할

정책을 호스팅하는 프로젝트 또는 정책 자체에 대한 compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
정책을 클릭합니다.
삭제하려는 규칙을 선택합니다.
삭제를 클릭합니다.

gcloud

gcloud compute network-firewall-policies rules delete PRIORITY \
    --firewall-policy POLICY_NAME \
    --global-firewall-policy

다음을 바꿉니다.

PRIORITY: 정책에서 삭제하려는 규칙의 우선순위
POLICY_NAME: 규칙이 포함된 정책

정책 간 규칙 클론

타겟 정책에서 모든 규칙을 삭제하고 소스 정책의 규칙으로 바꿉니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

compute.firewallPolicies.cloneRules

역할

프로젝트 또는 정책 자체에 대한 compute.securityAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
프로젝트 선택기 메뉴에서 정책이 포함된 프로젝트를 선택합니다.
규칙을 복사하려는 정책을 클릭합니다.
화면 상단의 클론을 클릭합니다.
타겟 정책의 이름을 입력합니다.
새 정책을 즉시 연결하려면 계속 > 네트워크 정책과 리소스 연결을 클릭합니다.
복제를 클릭합니다.

gcloud

gcloud compute network-firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy SOURCE_POLICY \
    --global

다음을 바꿉니다.

POLICY_NAME: 규칙을 클론된 규칙으로 바꿀 타겟 정책입니다.
SOURCE_POLICY: 규칙을 클론할 소스 정책의 리소스 URL입니다.

네트워크에 유효한 방화벽 규칙 가져오기

지정된 VPC 네트워크에 적용되는 모든 계층식 방화벽 정책 규칙, VPC 방화벽 규칙, 전역 네트워크 방화벽 정책을 볼 수 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

네트워크에 대한 compute.networks.getEffectiveFirewalls

역할

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

콘솔

Google Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.

VPC 네트워크로 이동
방화벽 정책 규칙을 보려는 네트워크를 클릭합니다.
방화벽 정책을 클릭합니다.
각 방화벽 정책을 펼쳐서 이 네트워크에 적용되는 규칙을 확인합니다.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

다음을 바꿉니다.

NETWORK_NAME: 유효한 규칙을 보려는 네트워크

방화벽 페이지에서 네트워크에 유효한 방화벽 규칙을 볼 수도 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

네트워크에 대한 compute.organizations.listAssociations
선택사항: 상속 출처 열과 위치 열에서 정보를 볼 수 있는 resourcemanager.folders.get 및 resourcemanager.organizations.get

역할

방화벽 규칙을 보려면 다음 명령어를 실행합니다.

compute.orgSecurityResourceAdmin
compute.viewer

선택사항: 상속 출처 열과 위치 열에서 정보를 보려면 다음 안내를 따르세요.

browser
resourcemanager.organizationAdmin

콘솔

Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

방화벽 정책으로 이동
방화벽 정책은 이 프로젝트에서 상속된 방화벽 정책 섹션에 나열됩니다.
각 방화벽 정책을 클릭하여 이 네트워크에 적용되는 규칙을 확인합니다.

VM 인터페이스에 유효한 방화벽 규칙 가져오기

지정된 Compute Engine VM 인터페이스에 적용되는 모든 계층식 방화벽 정책 규칙, VPC 방화벽 규칙, 전역 네트워크 방화벽 정책 규칙을 볼 수 있습니다.

이 태스크에 필요한 권한

이 태스크를 수행하려면 다음과 같은 권한 또는 다음과 같은 IAM 역할을 부여받아야 합니다.

권한

네트워크에 대한 compute.instances.getEffectiveFirewalls

역할

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

콘솔

Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

VM 인스턴스로 이동
프로젝트 선택기 메뉴에서 VM이 포함된 프로젝트를 선택합니다.
VM을 클릭합니다.
네트워크 인터페이스에서 인터페이스를 클릭합니다.
방화벽 및 경로 세부정보에서 유효한 방화벽 규칙을 확인합니다.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

다음을 바꿉니다.

INSTANCE_NAME: 유효한 규칙을 보려는 VM입니다. 인터페이스를 지정하지 않으면 명령어에서 기본 인터페이스(nic0)의 규칙을 반환합니다.
INTERFACE: 유효한 규칙을 보려는 VM 인터페이스입니다. 기본값은 nic0입니다.
ZONE: VM의 영역입니다. 선택한 영역이 이미 기본값으로 설정되어 있으면 이 줄은 선택사항입니다.

전역 네트워크 방화벽 정책 및 규칙 사용 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

방화벽 정책 작업

전역 네트워크 방화벽 정책 만들기

이 태스크에 필요한 권한

콘솔

gcloud

정책을 네트워크와 연결

이 태스크에 필요한 권한

콘솔

gcloud

전역 네트워크 방화벽 정책 설명

이 태스크에 필요한 권한

콘솔

gcloud

전역 네트워크 방화벽 정책 설명 업데이트

이 태스크에 필요한 권한

콘솔

gcloud

전역 네트워크 방화벽 정책 나열

이 태스크에 필요한 권한

콘솔

gcloud

전역 네트워크 방화벽 정책 삭제

이 태스크에 필요한 권한

콘솔

gcloud

연결 삭제

이 태스크에 필요한 권한

콘솔

gcloud

방화벽 정책 규칙 태스크

전역 네트워크 방화벽 규칙 만들기

이 태스크에 필요한 권한

콘솔

gcloud

규칙 업데이트

이 태스크에 필요한 권한

콘솔

gcloud

규칙 설명

이 태스크에 필요한 권한

콘솔

gcloud

정책에서 규칙 삭제

이 태스크에 필요한 권한

콘솔

gcloud

정책 간 규칙 클론

이 태스크에 필요한 권한

콘솔

gcloud

네트워크에 유효한 방화벽 규칙 가져오기

이 태스크에 필요한 권한

콘솔

gcloud

이 태스크에 필요한 권한

콘솔

VM 인터페이스에 유효한 방화벽 규칙 가져오기

이 태스크에 필요한 권한

콘솔

gcloud

전역 네트워크 방화벽 정책 및 규칙 사용