방화벽 통계 카테고리 및 상태

이 페이지에서는 방화벽 통계 카테고리 및 상태에 대해 설명합니다. 통계는 google.compute.firewall.Insight 통계 유형을 사용해서 방화벽 규칙 구성 및 사용량을 분석합니다.

통계 카테고리

방화벽 통계 내에서 통계는 다음 표에 설명된 두 가지 일반 카테고리로 나뉩니다.

카테고리 설명 통계
구성 기반 방화벽 규칙 구성 방법에 대한 데이터를 기준으로 통계가 생성됩니다. 섀도 처리된 규칙
로그 기반 방화벽 규칙에 대한 로깅 및 방화벽 규칙 구성 방법에 대한 정보를 기준으로 통계가 생성됩니다.

과도한 권한이 부여된 규칙

  • 적중 항목이 없는 Allow 규칙
  • 적응형 분석을 기반으로 사용되지 않는 Allow 규칙
  • 사용되지 않는 속성이 있는 Allow 규칙
  • 과도한 권한이 부여된 IP 주소 또는 포트 범위가 있는 Allow 규칙

적중 항목이 있는 Deny 규칙

각 통계 하위 유형에는 심각도 수준이 포함됩니다. 예를 들어 섀도 처리된 규칙 통계의 심각도 수준은 medium입니다. 자세한 내용은 추천자 문서의 심각도를 참조하세요.

통계 상태

각 통계는 다음 상태 중 하나를 가질 수 있으며 다음 테이블에 설명된 대로 변경할 수 있습니다.

상태 설명
ACTIVE 통계가 활성 상태입니다. Google에서는 최신 정보를 기반으로 ACTIVE 통계에 대한 콘텐츠를 계속 업데이트합니다.
DISMISSED

통계가 닫히고 활동 통계 목록의 사용자에 대해 더 이상 표시되지 않습니다. 닫기 기록 페이지에서 DISMISSED 상태를 ACTIVE로 복원할 수 있습니다.

자세한 내용은 통계를 닫음으로 표시를 참조하세요.

섀도 처리된 규칙

섀도 처리된 규칙은 섀도 처리 규칙이라고 부르는 우선순위가 높거나 같은 다른 규칙과 IP 주소와 같은 속성을 공유합니다. 방화벽 통계는 VPC 방화벽 규칙방화벽 정책을 분석하여 섀도 처리된 규칙을 감지합니다.

  • VPC 네트워크에 할당된 방화벽 정책의 경우 동일한 정책이나 다른 정책의 VPC 규칙으로 섀도 처리된 정책 규칙에 대한 통계를 볼 수 있습니다.
  • 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, VPC 방화벽 규칙정책 및 규칙 평가 순서에 따라 평가됩니다. 예를 들어 전역 네트워크 방화벽 정책의 경우 규칙 평가 순서에 따라 VPC 방화벽 규칙에 의해 섀도 처리된 전역 네트워크 방화벽 정책 규칙에 대한 통계를 얻을 수 있습니다.
  • 전역 네트워크 방화벽 정책에 보안 태그가 있는 방화벽 규칙이 있는 경우 동일한 전역 방화벽 정책에서 서로 섀도잉하는 규칙에 대한 통계를 볼 수 있습니다. 자세한 내용은 방화벽 태그를 참조하세요.

방화벽 통계는 가능한 모든 섀도 규칙을 식별하지 않습니다. 특히 다른 방화벽 규칙의 여러 태그로 방화벽 규칙의 태그가 섀도 처리되었는지 식별하지 않습니다.

섀도 처리된 규칙 예시

이 예시에서 일부 섀도 처리된 규칙과 섀도잉 규칙에는 겹치는 소스 IP 범위 필터가 있으며 다른 규칙에는 규칙 우선 순위가 다릅니다.

다음 테이블은 A에서 E까지의 방화벽 규칙을 보여줍니다. 다른 섀도 처리된 규칙 시나리오는 테이블 다음에 나오는 섹션을 참조하세요.

방화벽
정책
유형 대상 필터 프로토콜
또는 포트
작업 우선순위
방화벽 규칙 A X 인그레스 전체 적용 10.10.0.0/16 tcp:80 허용 1000
방화벽 규칙 B Y 인그레스 전체 적용 10.10.0.0/24 tcp:80 허용 1000
방화벽 규칙 C - 인그레스 web 10.10.2.0/24 tcp:80
tcp:443
허용 1000
방화벽 규칙 D - 인그레스 web 10.10.2.0/24 tcp:80 거부 900
방화벽 규칙 E - 인그레스 web 10.10.2.0/24 tcp:443 거부 900

예시 1: 방화벽 규칙 B는 방화벽 규칙 A에 의해 섀도 처리됩니다.

이 예시에서는 A와 B라는 두 가지 방화벽 규칙이 있습니다. 이러한 규칙은 소스 IP 주소 범위 필터를 제외하고 거의 동일합니다. 예를 들어 A의 IP 주소 범위는 10.10.0.0/16이고 B의 IP 주소 범위는 10.10.0.0/24입니다. 따라서 방화벽 규칙 B는 방화벽 규칙 A에 의해 섀도 처리됩니다.

shadowed firewall rules 통계는 일반적으로 방화벽 구성 오류를 나타냅니다. 예를 들어 A의 IP 주소 필터 설정이 광범위하거나 B의 필터 설정이 너무 제한적이고 불필요할 수 있습니다.

예시 2: 방화벽 규칙 C는 방화벽 규칙 D와 E에 의해 섀도 처리됩니다.

이 예시에는 C, D, E의 세 가지 방화벽 규칙이 있습니다. 방화벽 규칙 C는 HTTP 포트 80 및 HTTPS 포트 443 웹 트래픽의 인그레스를 허용하며 우선순위는 1000(기본 우선순위)입니다. 반면에 방화벽 규칙 D와 E는 각각 HTTP 및 HTTPS 웹 트래픽의 인그레스를 거부하며 둘 다 우선순위는 900(높은 우선순위)입니다. 따라서 방화벽 규칙 C는 방화벽 규칙 D와 E 조합으로 섀도 처리됩니다.

예시 3: 방화벽 정책 Y의 방화벽 규칙 B는 정책 X의 방화벽 규칙 A에 의해 섀도 처리됩니다.

이 예시에서는 A와 B라는 두 가지 방화벽 규칙이 있습니다. 방화벽 규칙 A는 Folder1과 연결된 정책 X에 있지만 방화벽 규칙 B는 Folder2와 연결된 정책 Y에 있습니다. Folder1과 Folder2는 모두 동일한 조직 노드에 속하며 Folder2는 Folder1의 하위 항목입니다. 이 두 규칙은 소스 IP 주소 범위를 제외하고 동일합니다. 이 통계는 정책 Y의 방화벽 규칙 B가 정책 X의 방화벽 규칙 A에 이미 적용되기 때문에 필요하지 않음을 나타냅니다. 따라서 정책 Y의 방화벽 규칙 B가 정책 X의 방화벽 규칙 A에 의해 섀도 처리됩니다.

예시 4: 전역 네트워크 방화벽 정책 Y의 방화벽 규칙 B는 방화벽 규칙 A에 의해 섀도 처리됩니다.

이 예시에서는 A와 B라는 두 가지 방화벽 규칙이 있습니다. 방화벽 규칙 A와 B는 모두 Network1에 있지만 방화벽 규칙 B는 전역 네트워크 방화벽 정책 Y에 있습니다. 정책 Y의 방화벽 정책 적용 순서는 AFTER_CLASSIC_FIREWALLS입니다. 이 두 규칙은 소스 IP 주소 범위를 제외하고 거의 동일합니다. 이 통계는 정책 Y의 규칙 B가 규칙 A에 이미 포함되어 있으므로 필요하지 않음을 나타냅니다. 따라서 정책 Y의 방화벽 규칙 B가 방화벽 규칙 A에 의해 섀도 처리됩니다.

적중이 있는 거부 규칙

이 통계는 관찰 기간 중에 적중한 deny 규칙에 대한 세부정보를 제공합니다.

이러한 통계는 방화벽 패킷 드롭 신호를 제공합니다. 그런 다음 보안 보호로 인해 손실된 패킷이 예상되는지 여부 또는 네트워크 구성 오류로 인해 발생했는지 여부를 확인할 수 있습니다.

과도한 권한이 부여된 규칙

방화벽 통계는 방화벽 규칙에 과도한 권한이 부여되었는지 여부에 대한 포괄적인 분석을 제공합니다. 이 분석에는 다음과 같은 통계가 포함됩니다.

이 통계에서 제공하는 데이터는 방화벽 규칙 로깅에서 가져옵니다. 따라서 전체 관찰 기간 동안 방화벽 규칙 로깅을 사용 설정한 경우에만 데이터가 정확합니다. 그렇지 않으면 각 통계 카테고리의 규칙 수가 표시된 것보다 높을 수 있습니다.

과도한 권한이 부여된 규칙 통계에서 TCP 및 UDP 트래픽을 평가합니다. 다른 유형의 트래픽은 분석되지 않습니다. 자세한 내용은 각 통계의 설명을 참조하세요.

각 통계 하위 유형에는 심각도 수준이 포함됩니다. 예를 들어 과도하게 권한이 부여된 규칙 통계는 심각도 수준이 high입니다. 자세한 내용은 추천자 문서의 심각도를 참조하세요.

적중 항목이 없는 허용 규칙

이 통계는 관찰 기간 동안 적중 항목이 없는 allow 규칙을 식별합니다.

각 규칙에 대해 규칙 또는 속성이 이후에 적중될지 여부에 대한 머신러닝 예측을 볼 수 있습니다. 이러한 예측은 이 규칙 및 동일 조직의 유사 규칙의 이전 트래픽 패턴을 고려하는 머신러닝 분석으로 생성됩니다.

예측을 이해하는 데 도움이 되도록 이 통계는 통계가 식별한 규칙과 동일한 프로젝트에서 유사한 규칙을 식별합니다. 통계는 이러한 규칙의 적중 횟수를 나열하고 구성 세부정보를 요약합니다. 이러한 세부정보에는 IP 주소 및 포트 범위와 같은 각 규칙의 우선순위 및 속성이 포함됩니다.

Allow rules with no hits는 TCP 및 UDP 트래픽에 적용되는 방화벽 규칙을 평가합니다. 방화벽 규칙에서 다른 유형의 트래픽을 허용하는 경우 이 분석에 포함되지 않습니다.

적응형 분석을 기반으로 사용되지 않는 허용 규칙

이 통계는 사용 패턴 및 적응형 분석을 기반으로 활성화될 가능성이 낮은 allow 규칙을 식별합니다. 통계를 생성하는 머신러닝 분석에서는 지난 6주 동안의 평균 적중 횟수와 최근 적중 횟수 적응형 분석을 고려합니다. 하지만 적중 횟수 추적이 시작된 후 규칙이 활성화되지 않은 경우 다시 활성 상태가 될 때까지 통계에 포함될 수 있습니다.

예를 들어 관찰 기간의 마지막 몇 주 동안 방화벽 규칙이 자주 적중되어 며칠 동안 적중이 중지되었다고 가정해 보겠습니다. 이 경우 사용 패턴의 변화를 나타내는 해당 규칙에 대한 이 통계를 볼 수 있습니다. 하지만 방화벽 규칙은 자주 발생하지는 않지만 활성 상태인 해당 적중을 식별하기 위해 분석됩니다. 이러한 활성 규칙은 이 통계에 표시되지 않습니다.

머신러닝 분석에서 규칙을 비활성으로 식별한 각 규칙에 대해 적응형 분석을 기반으로 관찰 기간이 끝나기 전에 통계를 더 빠르게 볼 수 있습니다. 예를 들어 관찰 기간이 12개월이더라도 관찰 기간의 첫 번째가 지난 후 적응형 분석을 기반으로 통계를 시작할 수 있습니다.

관찰 기간이 끝나면 전체 관찰 기간 동안 방화벽 규칙 로깅을 통해 수집된 데이터를 기반으로 통계를 볼 수 있습니다.

사용되지 않는 속성이 있는 허용 규칙

이 통계는 관찰 기간 중 적중되지 않은 IP 주소 및 포트 범위와 같은 속성이 포함된 allow 규칙을 식별합니다.

이 통계는 식별된 각 규칙에 대해 규칙이 향후 적중될 확률을 보고합니다. 이러한 예측은 이 규칙 및 동일 조직의 유사 규칙의 이전 트래픽 패턴을 고려하는 머신러닝 예측을 기반으로 합니다.

예측을 이해하는 데 도움이 되도록 통계는 동일한 프로젝트에서 유사한 속성을 가진 다른 방화벽 규칙을 요약합니다. 이 요약에는 이러한 규칙의 속성이 적중되었는지 여부에 대한 데이터가 포함됩니다.

Allow rules with unused attributes는 TCP 및 UDP 트래픽에 정의된 속성만 평가합니다. 규칙에서 TCP 및 UDP 이외의 다른 유형의 트래픽을 허용하는 경우 규칙을 이 분석에 포함할 수 있습니다. 하지만 다른 유형의 트래픽과 관련된 속성은 분석되지 않습니다.

예를 들어 한 규칙에서 TCP와 ICMP 트래픽을 모두 허용한다고 가정해 보겠습니다. 허용된 IP 주소 범위가 사용되지 않은 것으로 표시되면 ICMP 트래픽에 사용할 수 있기 때문에 사용되지 않은 것으로 고려되지 않습니다. 그러나 동일한 규칙에 사용되지 않은 TCP 포트 범위가 있다면 이 규칙에 과도한 권한이 있다는 플래그가 표시됩니다.

과도한 권한이 부여된 IP 주소 또는 포트 범위가 있는 허용 규칙

이 통계는 과도하게 광범위한 IP 주소 또는 포트 범위를 가질 수 있는 allow 규칙을 식별합니다.

방화벽 규칙은 종종 필요한 것보다 더 광범위한 범위로 생성됩니다. 범위가 너무 넓으면 보안 위험을 야기할 수 있습니다.

이 통계는 방화벽 규칙의 IP 주소 및 포트 범위의 실제 사용량을 분석하여 이 문제를 완화하는 데 도움이 됩니다. 규칙이 지나치게 광범위한 경우 IP 주소와 포트 범위의 대체 조합을 제안합니다. 이 지식을 사용하면 관찰 기간 동안 트래픽 패턴을 기반으로 불필요한 포트 범위를 삭제할 수 있습니다.

Allow rules with overly permissive IP address or port ranges는 TCP 및 UDP 트래픽에 정의된 속성만 평가합니다. 규칙에서 TCP 및 UDP 이외의 다른 유형의 트래픽을 허용하는 경우 규칙을 이 분석에 포함할 수 있습니다. 하지만 다른 유형의 트래픽과 관련된 속성은 분석되지 않습니다.

예를 들어 한 규칙에서 TCP와 ICMP 트래픽을 모두 허용한다고 가정해 보겠습니다. 허용되는 IP 주소 범위가 일부만 사용되는 것으로 표시되더라도 ICMP 트래픽에 사용될 수 있기 때문에 통계에서는 해당 IP 주소 범위가 지나치게 광범위하다는 플래그를 표시하지 않습니다. 그러나 동일한 규칙에 일부만 사용되는 TCP 포트 범위가 있다면 이 규칙에 과도한 권한이 있다는 플래그가 표시됩니다.

부하 분산기 상태 확인이나 다른 Google Cloud 기능에 대한 특정 IP 주소 블록의 액세스를 허용하는 방화벽 규칙이 프로젝트에 있을 수 있습니다. 이러한 IP 주소는 적중되지 않을 수 있지만 이를 방화벽 규칙에서 삭제해서는 안 됩니다. 이러한 범위에 대한 자세한 내용은 Compute Engine 문서를 참조하세요.

머신러닝 예측

이전 섹션에서 설명한 것처럼 두 가지 통계(적중이 없는 allow 규칙과 사용되지 않은 속성이 있는 allow 규칙)는 머신러닝 예측을 사용합니다.

예측을 생성하기 위해 방화벽 통계는 동일 조직의 방화벽 규칙을 사용하여 머신러닝 모델을 학습시킵니다. 이렇게 하면 방화벽 통계가 공통 패턴을 학습합니다. 예를 들어 방화벽 통계는 적중하려는 속성의 조합에 대해 학습합니다. 이러한 속성에는 IP 주소 범위, 포트 범위, IP 프로토콜이 포함될 수 있습니다.

방화벽 규칙에 규칙 적중 가능성을 나타내는 일반 패턴이 포함된 경우 방화벽 통계에서 규칙이 이후에 적중될 것이라는 신뢰도가 높아집니다. 반대의 경우도 마찬가지입니다.

방화벽 통계에는 예측을 사용하는 각 통계에 대해 통계에서 식별된 규칙과 유사한 것으로 간주되는 규칙에 대한 세부정보가 표시됩니다. 예를 들어 통계 세부정보 패널에서 예측의 제목인 규칙과 거의 비슷한 세 가지 규칙에 대한 세부정보를 볼 수 있습니다. 두 규칙의 속성이 서로 겹치는 부분이 많을수록 더 비슷한 것으로 고려됩니다.

적중 항목이 없는 allow 규칙의 경우 다음 예시를 참조하세요.

규칙 A에 다음과 같은 속성이 있다고 가정합니다.

Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80

그리고 규칙 B에 다음과 같은 속성이 있다고 가정합니다.

Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80

이 두 규칙은 동일한 대상 태그, 프로토콜, 포트 속성을 공유합니다. 이 둘은 소스 속성만 다릅니다. 이러한 이유로 유사한 것으로 간주됩니다.

사용되지 않는 속성이 있는 allow 규칙의 경우 유사성도 같은 방식으로 결정됩니다. 이 통계의 경우 방화벽 통계는 구성에 동일한 속성이 포함될 때 비슷한 규칙을 고려합니다.

다음 단계