방화벽 규칙 구성

이 페이지에서는 Google Cloud 방화벽 규칙 및 피어 네트워크 방화벽 규칙 구성을 위한 안내를 제공합니다.

피어 네트워크에 연결하도록 Cloud VPN 터널을 구성할 때 Google Cloud 및 피어 네트워크가 해당 요구 사항을 충족하는지 방화벽 규칙을 검토하고 수정해야 합니다. 피어 네트워크가 다른 Virtual Private Cloud(VPC) 네트워크인 경우 네트워크 연결의 양측에 대해 Google Cloud 방화벽 규칙을 구성합니다.

Google Cloud 방화벽 규칙

Google Cloud 방화벽 규칙은 VPC 네트워크 내에서 Cloud VPN 터널을 통해 가상 머신(VM) 인스턴스 간에 전송된 패킷에 적용됩니다.

묵시적인 이그레스 허용 규칙은 Google Cloud 네트워크에 있는 VM 인스턴스 및 기타 리소스가 나가는 요청을 수행하고 설정된 응답을 수신하도록 허용하지만 묵시적인 인그레스 거부 규칙은 Google Cloud 리소스로 들어오는 모든 트래픽을 차단합니다.

최소한 피어 네트워크에서 Google Cloud로 들어오는 인그레스 트래픽을 허용하는 방화벽 규칙을 만들어야 합니다. 특정 유형의 트래픽을 거부하는 다른 이그레스 규칙을 만든 경우 이그레스 규칙을 만들어야 할 수도 있습니다.

UDP 500, UDP 4500, ESP(IPSec, IP 프로토콜 50) 프로토콜을 포함하는 트래픽은 Cloud VPN 게이트웨이에서 하나 이상의 외부 IP 주소 간에 항상 허용됩니다. 하지만 Cloud VPN 게이트웨이에서 피어 VPN 게이트웨이로 전송되는 캡슐화 후 IPSec 패킷에는 Google Cloud 방화벽 규칙이 적용되지 않습니다.

Google Cloud 방화벽 규칙에 대한 자세한 내용은 방화벽 규칙 개요를 참조하세요.

구성 예시

인그레스 또는 이그레스 트래픽을 제한하는 여러 예시는 VPC 문서의 방화벽 구성 예시를 참조하세요.

다음 예시에서는 인그레스 허용 방화벽 규칙을 만듭니다. 이 규칙은 피어 네트워크의 CIDR에서 VPC 네트워크의 VM으로 들어오는 모든 TCP, UDP, ICMP 트래픽을 허용합니다.

Console

  1. Google Cloud Console의 VPN 터널 페이지로 이동합니다.
    VPN 터널 페이지로 이동
  2. 사용하려는 VPN 터널을 클릭합니다.
  3. VPN 게이트웨이 섹션에서 VPC 네트워크 이름을 클릭합니다. 그러면 터널이 포함된 VPC 네트워크 세부정보 페이지가 표시됩니다.
  4. 방화벽 규칙 탭을 선택합니다.
  5. 방화벽 규칙 추가를 클릭합니다. TCP, UDP, ICMP에 대한 규칙을 추가합니다.
    • 이름: allow-tcp-udp-icmp
    • 소스 필터: IP 범위
    • 소스 IP 범위: 터널을 만든 시점의 원격 네트워크 IP 범위 값. 피어 네트워크 범위가 2개 이상인 경우 각각을 입력합니다. 항목 사이에는 Tab 키를 누릅니다.
    • 허용되는 프로토콜 또는 포트: tcp; udp; icmp
    • 대상 태그: 모든 유효한 태그
  6. 만들기를 클릭합니다.
  7. 필요에 따라 다른 방화벽 규칙을 만듭니다.

또는 Google Cloud Console의 방화벽 규칙 페이지에서 규칙을 만들 수 있습니다.

  1. 방화벽 규칙 페이지로 이동합니다.
  2. 방화벽 규칙 만들기를 클릭합니다.
  3. 다음 필드를 채웁니다.
    • 이름: vpnrule1
    • VPC 네트워크: my-network
    • 소스 필터: IP ranges.
    • 소스 IP 범위: 피어 VPN 게이트웨이에서 허용할 피어 네트워크의 IP 주소 범위입니다.
    • 허용되는 프로토콜 및 포트: tcp;udp;icmp
  4. 만들기를 클릭합니다.

gcloud

  gcloud  compute --project project-id firewall-rules create vpnrule1 \
    --network network \
    --allow tcp,udp,icmp \
    --source-ranges peer-source-range

피어 네트워크 범위가 2개 이상인 경우 소스 범위 필드에 쉼표로 구분된 목록을 입력합니다(--source-ranges 192.168.1.0/24,192.168.2.0/24).

firewall-rules 명령어에 대한 자세한 내용은 gcloud 방화벽 규칙 문서를 참조하세요.

피어 방화벽 규칙

피어 방화벽 규칙을 구성할 때 다음 사항을 고려하세요.

  • VPC 네트워크의 서브넷에서 사용하는 IP 범위를 오가는 이그레스 및 인그레스 트래픽을 허용하는 규칙을 구성해야 합니다.
  • 모든 프로토콜 및 포트를 허용하도록 선택하거나, 요구 사항을 충족하는 프로토콜 및 포트의 필수 집합으로만 트래픽을 제한할 수 있습니다.
  • ping을 사용하여 Google Cloud의 피어 시스템과 인스턴스 또는 리소스 간에 서로 통신할 수 있어야 하는 경우 ICMP 트래픽을 허용해야 합니다.
  • 온프레미스 방화벽 규칙은 네트워크 장치(예: 보안 어플라이언스, 방화벽 장치, 스위치, 라우터, 게이트웨이) 및 시스템에서 실행 중인 소프트웨어(예: 운영체제에 포함된 방화벽 소프트웨어) 모두에서 구현할 수 있습니다. VPC 네트워크 경로의 모든 방화벽은 트래픽을 허용하도록 적절히 구성해야 합니다.
  • VPN 터널에 동적(BGP) 라우팅이 사용되는 경우, 링크-로컬 IP 주소에 대해 BGP 트래픽이 허용되는지 확인합니다. 자세한 내용은 다음 섹션을 참조하세요.

피어 게이트웨이에 대한 BGP 고려사항

동적(BGP) 라우팅은 TCP 포트 179를 사용하여 경로 정보를 교환합니다. Cloud VPN 게이트웨이를 비롯한 일부 VPN 게이트웨이는 개발자가 동적 라우팅을 선택할 때 이 트래픽을 자동으로 허용합니다. 피어 VPN 게이트웨이가 허용하지 않는 경우 TCP 포트 179에서 들어오는 트래픽과 나가는 트래픽을 허용하도록 구성해야 합니다. 모든 BGP IP 주소는 링크-로컬 169.254.0.0/16 CIDR 블록을 사용합니다.

피어 VPN 게이트웨이가 인터넷에 직접 연결되어 있지 않으면, 이 게이트웨이와 피어 라우터, 방화벽, 보안 어플라이언스가 최소한 BGP 트래픽(TCP 포트 179) 및 ICMP 트래픽을 VPN 게이트웨이로 전달하도록 구성되어 있는지 확인합니다. ICMP는 필수가 아니지만, Cloud Router와 VPN 게이트웨이 사이의 연결을 테스트하는 데 유용합니다. 피어 방화벽 규칙이 적용되어야 하는 IP 주소 범위에는 Cloud Router의 BGP IP 주소와 게이트웨이의 BGP IP 주소가 포함되어야 합니다.

다음 단계