전역 네트워크 방화벽 정책을 사용하면 모든 방화벽 규칙을 단일 정책 객체로 그룹화하여 일괄 업데이트할 수 있습니다. Virtual Private Cloud(VPC) 네트워크에 네트워크 방화벽 정책을 할당할 수 있습니다. 이러한 정책에는 연결을 명시적으로 거부하거나 허용할 수 있는 규칙이 포함됩니다.
사양
- 전역 네트워크 방화벽 정책은 방화벽 규칙의 컨테이너 리소스입니다.
각 전역 네트워크 방화벽 정책 리소스는 프로젝트 내에 정의됩니다.
- 전역 네트워크 방화벽 정책을 만든 후에는 정책에서 방화벽 규칙을 추가, 업데이트, 삭제할 수 있습니다.
- 전역 네트워크 방화벽 정책의 규칙에 대한 사양 정보는 방화벽 정책 규칙을 참조하세요.
- VPC 네트워크에 전역 네트워크 방화벽 정책 규칙을 적용하려면 방화벽 정책을 해당 VPC 네트워크와 연결해야 합니다.
- 전역 네트워크 방화벽 정책을 여러 VPC 네트워크와 연결할 수 있습니다. 방화벽 정책 및 연결된 네트워크가 동일한 프로젝트에 속하는지 확인합니다.
- 각 VPC 네트워크는 하나의 전역 네트워크 방화벽 정책과만 연결할 수 있습니다.
- 방화벽 정책이 VPC 네트워크와 연결되지 않은 경우에는 해당 정책의 규칙이 적용되지 않습니다. 네트워크와 연결되지 않은 방화벽 정책은 연결되지 않은 전역 네트워크 방화벽 정책입니다.
- 전역 네트워크 방화벽 정책이 하나 이상의 VPC 네트워크와 연결된 경우 방화벽 정책 규칙이 다음 방식으로 적용됩니다.
- 기존 규칙은 연결된 VPC 네트워크의 적용 가능한 리소스에 따라 적용됩니다.
- 규칙에 적용되는 변경 사항은 연결된 VPC 네트워크의 적용 가능한 리소스에 따라 적용됩니다.
전역 네트워크 방화벽 정책의 규칙은 정책 및 규칙 평가 순서에 설명된 대로다음 규칙과 함께 적용됩니다.
전역 네트워크 방화벽 정책 규칙은 침입 방지 서비스를 사용하는 경우와 같이 일치하는 트래픽의 레이어 7 검사를 구성하는 데 사용됩니다.
apply_security_profile_group작업과 보안 프로필 그룹 이름을 사용하여 방화벽 정책 규칙을 만듭니다. 방화벽 정책 규칙과 일치하는 트래픽은 레이어 7 검사를 할 수 있도록 방화벽 엔드포인트에 투명하게 전달됩니다. 방화벽 정책 규칙을 만드는 방법은 전역 네트워크 방화벽 규칙 만들기를 참조하세요.
전역 네트워크 방화벽 정책 규칙 세부정보
전역 네트워크 방화벽 정책의 구성요소 및 규칙 매개변수에 대한 자세한 내용은 방화벽 정책 규칙을 참조하세요.
다음 표에서는 전역 네트워크 방화벽 정책 규칙과 VPC 방화벽 규칙 사이의 주요 차이점을 요약해서 보여줍니다.
| 전역 네트워크 방화벽 정책 규칙 | VPC 방화벽 규칙 | |
|---|---|---|
| 우선순위 번호 | 정책 내에서 고유해야 합니다. | 중복 우선순위 허용 |
| 대상 서비스 계정 | 예 | 예 |
| 소스 서비스 계정 (인그레스 규칙 전용) |
아니요 | 예 |
| 태그 유형 | 보안 태그 | 네트워크 태그 |
| 이름 및 설명 | 정책 이름, 정책, 규칙 설명 | 규칙 이름 및 설명 |
| 일괄 업데이트 | 예(정책 클론, 수정, 바꾸기 기능) | 아니요 |
| 재사용 | 예 | 아니요 |
| 할당량 | 속성 수(정책에 포함된 각 규칙의 총 복잡성 기준) | 규칙 수(복잡한 방화벽 규칙과 간단한 방화벽 규칙 모두 할당량 영향이 동일함) |
사전 정의된 규칙
모든 전역 네트워크 방화벽 정책에는 우선순위가 가장 낮은 네 개의 사전 정의된 goto_next 규칙이 있습니다. 이러한 규칙은 정책에서 명시적으로 정의된 규칙과 일치하지 않는 연결에 적용되어 이러한 연결이 하위 수준 정책 또는 네트워크 규칙으로 전달됩니다.
이러한 사전 정의된 규칙은 리전별 네트워크 방화벽 정책 및 계층적 방화벽 정책에만 제공됩니다. 자세한 내용은 계층식 방화벽 정책 문서의 사전 정의된 규칙을 참조하세요.
Identity and Access Management(IAM) 역할
IAM 역할은 전역 네트워크 방화벽 정책과 관련하여 다음 작업을 적용합니다.
- 전역 네트워크 방화벽 정책 만들기
- 정책을 네트워크에 연결
- 기존 정책 수정
- 특정 네트워크 또는 VM에 대한 유효한 방화벽 규칙 보기
다음 표에서는 각 작업에 필요한 역할을 설명합니다.
| 작업 | 필수 역할 |
|---|---|
| 새 전역 네트워크 방화벽 정책 만들기 | 정책이 속한 프로젝트에 대한 compute.securityAdmin 역할 |
| 정책을 네트워크에 연결 | 정책이 있는 프로젝트에 대한 compute.networkAdmin 역할 |
| 정책 방화벽 규칙을 추가, 업데이트 또는 삭제하여 정책 수정 | 정책이 있는 프로젝트에 대한 compute.securityAdmin 역할 |
| 정책 삭제 | 정책이 있는 프로젝트에 대한 compute.networkAdmin 역할 |
| VPC 네트워크의 유효한 방화벽 규칙 보기 | 네트워크에 대한 다음 역할 중 하나입니다. compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| 네트워크에서 VM의 유효한 방화벽 규칙 보기 | VM에 대한 다음 역할 중 하나입니다. compute.instanceAdmin compute.securityAdmin compute.viewer |
다음 역할은 전역 네트워크 방화벽 정책과 관련이 있습니다.
| 역할 이름 | 설명 |
|---|---|
| compute.securityAdmin | 프로젝트 또는 정책 수준에서 부여할 수 있습니다. 프로젝트에 대한 권한이 부여된 사용자는 전역 네트워크 방화벽 정책 및 규칙을 생성, 업데이트, 삭제할 수 있습니다. 정책 수준에서 사용자가 정책 규칙을 업데이트할 수 있지만 정책을 만들거나 삭제할 수는 없습니다. 또한 이 역할에서는 사용자가 정책을 네트워크에 연결할 수 있습니다. |
| compute.networkAdmin | 프로젝트 수준 또는 네트워크 수준에서 부여됩니다. 네트워크에 대한 권한이 부여된 사용자는 전역 네트워크 방화벽 정책 목록을 볼 수 있습니다. |
|
compute.viewer compute.networkUser compute.networkViewer |
사용자는 네트워크 또는 인스턴스에 적용된 방화벽 규칙을 볼 수 있습니다. 네트워크의 compute.networks.getEffectiveFirewalls 권한과 인스턴스의 compute.instances.getEffectiveFirewalls 권한이 포함됩니다. |