Cloud 차세대 방화벽의 URL 필터링 서비스를 사용하면 URL을 차단하거나 허용하여 웹사이트 및 웹페이지에 대한 액세스를 제어할 수 있습니다. 이 서비스를 사용하면 이그레스 HTTP (S) 메시지에서 사용할 수 있는 도메인 및 서버 이름 표시(SNI) 정보를 사용하여 워크로드 트래픽을 필터링할 수 있습니다.
URL 필터링 서비스는 HTTP 메시지 헤더를 검사하므로, 대상 서버가 차단하고 싶지 않은 신뢰할 수 있는 사이트를 호스팅하거나 DNS 기반 액세스 제한이 효과가 없는 경우에도 이 서비스를 사용하여 특정 도메인에 대한 액세스를 차단할 수 있습니다. URL 필터링 서비스를 침입 감지 및 방지 서비스와 함께 사용하여 악성 URL로의 트래픽을 거부하고, 악성 명령 및 제어 (C2) 서버에 대한 액세스를 방지하고, 실행 파일에서 멀웨어를 감지할 수 있습니다.
Cloud NGFW URL 필터링 서비스는 Google Cloud의 패킷 가로채기 기술을 사용하여 구성된 도메인 이름 및 SNI 목록과 일치하는 트래픽을 리디렉션하고 검사하는 Google 관리 영역 방화벽 엔드포인트를 만들어 작동합니다.
패킷 가로채기는 기존 라우팅 정책을 수정하지 않고 선택된 네트워크 트래픽 경로에 네트워크 어플라이언스를 투명하게 삽입하는 Google Cloud 기능입니다.
URL 필터링 서비스 사용의 이점
URL 필터링 서비스를 사용하면 DNS 변경 및 기타 시간이 많이 소요되는 IP 주소 기반 방화벽 변경으로 인해 IP 주소가 자주 변경되어 발생하는 필수 유지보수를 줄일 수 있습니다. 이 서비스를 사용하면 액세스할 수 있는 원격 URL을 정확하게 제어할 수 있습니다. 이를 통해 여러 서비스와 도메인을 호스팅할 수 있는 IP 주소로 가능한 것보다 더 세밀하게 제어할 수 있습니다.
TLS 검사
URL 필터링 서비스는 암호화된 트래픽과 암호화되지 않은 트래픽을 모두 처리할 수 있습니다. 암호화된 트래픽의 경우 TLS 검사를 구성하여 URL 필터링 서비스가 메시지 헤더를 복호화하고 메시지의 호스트 헤더에 있는 도메인 이름을 검사하도록 할 수 있습니다.
그러면 URL 필터링 서비스가 TLS 협상 중에 전송된 일반 텍스트 SNI와 함께 도메인 세부정보를 사용하여 연결된 보안 프로필에 의해 정의된 구성된 URL과 일치하는 항목을 찾을 수 있습니다.
TLS 검사가 없어도 URL 필터링 서비스는 암호화된 HTTP(S) 트래픽을 처리할 수 있지만 URL 필터링 서비스는 URL 일치를 위해 TLS 협상 중에 clientHello의 SNI만 사용합니다. 암호화되지 않은 HTTP 트래픽의 경우 TLS 검사를 사용 설정했는지 여부와 관계없이 URL 필터링 서비스는 URL 필터링에 HTTP 호스트 헤더를 사용합니다.
Cloud NGFW는 선택한 암호화된 트래픽의 호스트 헤더에 있는 도메인 정보에 액세스하기 위한 TLS 가로채기 및 복호화만 지원합니다.
URL 필터링 서비스는 인터넷 송수신 트래픽과 Google Cloud내부 트래픽을 포함한 인바운드 및 아웃바운드 연결을 검사합니다.
Cloud NGFW의 TLS 검사에 대한 자세한 내용은 TLS 검사 개요를 참조하세요.
Cloud NGFW에서 TLS 검사를 사용 설정하는 방법은 TLS 검사 설정을 참조하세요.
URL 필터링 서비스 배포 모델
다음 다이어그램은 한 리전의 서로 다른 두 영역에 있는 Virtual Private Cloud (VPC) 네트워크용으로 구성된 방화벽 엔드포인트가 있는 URL 필터링 서비스 배포의 예를 보여줍니다.
URL 필터링 서비스 구성요소
URL 필터링 서비스에는 구성해야 하는 세 가지 기본 항목이 필요합니다. URL 필터링 보안 프로필 및 연결된 보안 프로필 그룹, 트래픽을 수신하는 방화벽 엔드포인트, 엔드포인트에 연결된 방화벽 정책
보안 프로필 및 보안 프로필 그룹
Cloud NGFW는 보안 프로필과 보안 프로필 그룹을 사용하여 URL 필터링 서비스를 구현합니다.
URL 필터링 보안 프로필은 일치자 문자열이 있는 URL 필터를 포함하는
url-filtering유형의 일반 정책 구조입니다. URL 필터링 서비스는 이러한 문자열을 사용하여 HTTP(S) 메시지의 도메인 이름 및 SNI와 일치시킵니다. 각 URL 필터에는 일치자 문자열 목록, 고유한 우선순위, 작업이 포함됩니다.URL 필터링 보안 프로필에 대해 자세히 알아보려면 URL 필터링 보안 프로필을 참고하세요.
보안 프로필 그룹은 보안 프로필의 컨테이너 역할을 합니다. 각 그룹에는 서로 다른 유형의 보안 프로필이 하나 이상 포함되어 있습니다. 예를 들어 보안 프로필 그룹에는
url-filtering및threat-prevention유형에 속하는 보안 프로필이 포함될 수 있습니다. 방화벽 정책 규칙은 보안 프로필 그룹을 참조하여 네트워크 트래픽에 URL 필터링 서비스 또는 침입 감지 및 방지 서비스 또는 둘 다를 사용 설정합니다.보안 프로필 그룹에 대한 자세한 내용은 보안 프로필 그룹 개요를 참고하세요.
방화벽 엔드포인트
방화벽 엔드포인트는 영역 수준에서 생성된 조직 리소스로, 배포된 동일한 영역에서 레이어 7 트래픽을 검사할 수 있습니다. 엔드포인트는 동일한 영역에 있는 하나 이상의 VPC와 연결됩니다. 타겟 가상 머신 (VM) 인스턴스의 트래픽을 필터링하려면 타겟 VM이 있는 VPC와 동일한 영역에 방화벽 엔드포인트를 만듭니다.
URL 필터링 서비스의 경우 방화벽 엔드포인트는 메시지의 호스트 헤더에 있는 도메인 또는 TLS 검사 없이 암호화된 트래픽에 대해 TLS 협상 중에 획득한 SNI를 URL 필터링 보안 프로필의 URL 필터와 일치시킵니다. 엔드포인트에서 일치하는 항목을 감지하면 연결에서 URL 필터와 연결된 작업을 실행합니다. 이 작업은 기본 작업이거나 URL 필터링 보안 프로필의 구성된 작업일 수 있습니다.
방화벽 엔드포인트 및 구성 방법에 대한 자세한 내용은 방화벽 엔드포인트 개요를 참조하세요.
방화벽 정책
방화벽 정책은 VM의 모든 인그레스 및 이그레스 트래픽에 직접 적용됩니다. 계층식 방화벽 정책 및 전역 네트워크 방화벽 정책을 사용하여 레이어 7 검사로 방화벽 정책 규칙을 구성할 수 있습니다.
방화벽 정책 규칙
방화벽 정책 규칙을 사용하면 가로채기와 검사를 수행할 트래픽 유형을 제어할 수 있습니다. URL 필터링 서비스를 구성하려면 다음을 수행하는 방화벽 정책 규칙을 만듭니다.
- 여러 레이어 3 및 레이어 4 방화벽 정책 규칙 구성요소를 사용하여 검사할 트래픽 유형을 식별합니다.
- 일치하는 트래픽에 대한
apply_security_profile_group작업의 보안 프로필 그룹 이름을 지정합니다.
전체 URL 필터링 서비스 워크플로는 URL 필터링 서비스 구성을 참고하세요.
방화벽 규칙에서 보안 태그를 사용하여 URL 필터링 서비스를 구성할 수도 있습니다. 네트워크에서 태그를 사용하여 설정한 세분화를 빌드하고 트래픽 검사 로직을 개선하여 URL 필터링 서비스를 포함할 수 있습니다.
URL 필터링 서비스의 작동 방식
URL 필터링 서비스는 다음 순서로 HTTP(S) 트래픽을 처리합니다.
URL 필터링 서비스는 네트워크의 VM 인스턴스나 Google Kubernetes Engine (GKE) 클러스터와 주고받는 트래픽에 방화벽 정책 규칙을 적용합니다.
URL 필터링 서비스는 일치하는 트래픽을 가로채 레이어 7 검사를 위해 방화벽 엔드포인트로 전송합니다.
TLS 검사가 사용 설정된 암호화된 트래픽의 경우 URL 필터링 서비스는 메시지 헤더를 복호화하고 호스트 헤더에 지정된 도메인을 TLS 협상 중에 전송된 SNI와 함께 사용하여 구성된 URL과 일치하는지 확인합니다.
트래픽이 암호화되어 있지만 TLS 검사가 사용 설정되지 않은 경우 메시지 헤더는 암호화된 상태로 유지됩니다. 대신 URL 필터링 서비스는 TLS 협상 중에 SNI에 지정된 도메인을 사용합니다.
암호화되지 않은 트래픽의 경우 URL 필터링 서비스는 항상 호스트 헤더에 지정된 도메인을 사용하여 일치 여부를 확인합니다.
URL 정보가 일치하면 URL 필터링 서비스는 해당 연결에 대해 보안 프로필에 구성된 작업을 실행합니다.
URL 필터링 서비스에서 나가는 트래픽을 허용하는 경우 침입 감지 및 방지 서비스(사용 설정된 경우)에서 트래픽에 위협이 있는지 추가로 검사할 수 있습니다.
제한사항
URL 필터링은
http/1.x및http/2만 지원합니다. TLS 검사가 사용 설정된 QUIC, 암호화된 SNI (ESNI) 또는 암호화된 클라이언트 Hello (ECH)는 지원되지 않습니다.TLS 검사를 사용 설정하면 Cloud NGFW가 QUIC, ESNI 또는 ECH 트래픽을 전달하지 않습니다. 하지만 TLS 검사를 사용 중지하면 Cloud NGFW는 도메인 및 SNI 정보에 액세스하지 않고 이러한 트래픽을 전달합니다. 이 시나리오에서 Cloud NGFW는 명시적 허용 URL 필터를 사용할 수 있는 경우에만 QUIC, ESNI, ECH 트래픽을 허용합니다. 명시적 허용 필터가 없으면 기본 묵시적 거부 URL 필터가 QUIC, ESNI, ECH 트래픽을 차단합니다. 명시적 허용 및 암시적 거부 URL 필터에 관한 자세한 내용은 암시적 거부 URL 필터를 참고하세요.