방화벽 테이블

방화벽 테이블에는 프라이빗 클라우드 리소스에 대해 네트워크 트래픽을 필터링하기 위한 규칙이 나열됩니다. 방화벽 규칙은 소스 네트워크 또는 IP 주소와 대상 네트워크 또는 IP 주소 사이의 네트워크 트래픽을 제어합니다.

방화벽 테이블 및 방화벽 규칙을 설정한 후에는 해당 규칙을 적용하기 위해 서브넷에 테이블을 연결할 수 있습니다. 여러 서브넷에 방화벽 테이블을 적용할 수 있지만 서브넷은 방화벽 테이블 하나에만 연결될 수 있습니다.

방화벽 테이블은 관리 서브넷에만 적용될 수 있습니다. 워크로드 VM을 포함하는 서브넷의 경우 대신 NSX-T 데이터 센터에서 방화벽 설정을 관리합니다. 자세한 내용은 관리자 모드의 방화벽을 참조하세요.

방화벽 테이블 만들기

  1. Google Cloud VMware Engine 포털에 액세스
  2. 네트워크 > 방화벽 테이블로 이동합니다.
  3. 새 방화벽 테이블 만들기를 클릭합니다.
  4. 테이블의 이름을 입력합니다.
  5. 필요한 경우 방화벽 규칙을 추가합니다. 각 방화벽 테이블은 기본 방화벽 규칙 집합부터 시작합니다.
  6. 완료를 클릭하여 방화벽 테이블을 저장합니다.

서브넷에 방화벽 테이블 연결

방화벽 테이블을 정의한 후에는 테이블의 규칙을 적용할 서브넷을 지정할 수 있습니다.

  1. 네트워크 > 방화벽 테이블 페이지에서 방화벽 테이블을 선택합니다.
  2. 연결된 서브넷 탭을 엽니다.
  3. 서브넷에 연결을 클릭합니다.
  4. 프라이빗 클라우드 및 서브넷을 선택합니다. 테이블에서 사용자가 만든 규칙이 공개 IP 주소 또는 인터넷에만 적용되는 경우 테이블을 시스템 관리 서브넷에 연결합니다.
  5. 제출을 클릭합니다.

방화벽 규칙

방화벽 규칙은 방화벽이 특정 유형의 트래픽을 처리하는 방식을 결정합니다. 선택한 방화벽 테이블의 규칙 탭에는 연결된 모든 규칙이 나열됩니다.

방화벽 규칙을 만들려면 다음 단계를 따르세요.

  1. 네트워크 > 방화벽 테이블로 이동합니다.
  2. 방화벽 테이블을 선택합니다.
  3. 새 규칙 만들기를 클릭합니다.
  4. 원하는 방화벽 규칙 속성을 설정합니다.
  5. 완료를 클릭하여 규칙을 저장하고 방화벽 테이블의 규칙 목록에 추가합니다.

스테이트리스(Stateless) 규칙

스테이트리스(Stateless) 방화벽 규칙은 개별 패킷만 보고 규칙에 따라 필터링합니다. 다음 지점 사이의 트래픽에는 스테이트리스(Stateless) 규칙을 사용합니다.

  • 프라이빗 클라우드의 서브넷
  • 온프레미스 서브넷 및 프라이빗 클라우드 서브넷
  • 프라이빗 클라우드에서의 인터넷 트래픽

스테이트풀(Stateful) 규칙

스테이트풀(Stateful) 방화벽 규칙은 이를 통과하는 연결을 추적합니다. 스테이트풀(Stateful) 규칙은 기존 연결에 대한 흐름 기록을 만듭니다. 흐름 기록의 연결 상태에 따라 통신이 허용되거나 거부됩니다. 공개 IP 주소에 이 규칙 유형을 사용하여 인터넷에서 트래픽을 필터링합니다.

기본 방화벽 규칙

모든 방화벽 테이블에는 다음과 같은 기본 방화벽 규칙이 있습니다.

우선순위 이름 상태 추적 방향 트래픽 유형 프로토콜 소스 소스 포트 대상 대상 포트 작업
65000 인터넷에 모두 허용 스테이트풀(Stateful) 아웃바운드 공개 IP 또는 인터넷 트래픽 전체 임의 임의 임의 임의 허용
65001 인터넷에서 모두 거부 스테이트풀(Stateful) 인바운드 공개 IP 또는 인터넷 트래픽 전체 임의 임의 임의 임의 거부
65002 인트라넷에 모두 허용 스테이트리스(Stateless) 아웃바운드 프라이빗 클라우드 내부 또는 VPN 트래픽 전체 임의 임의 임의 임의 허용
65003 인트라넷에서 모두 허용 스테이트리스(Stateless) 인바운드 프라이빗 클라우드 내부 또는 VPN 트래픽 전체 임의 임의 임의 임의 허용

방화벽 규칙 속성

다음 테이블에서는 방화벽 규칙의 매개변수를 설명합니다.

매개변수 세부정보
이름 방화벽 규칙과 목적을 고유하게 식별하는 이름입니다.
우선순위 100~4096 사이의 숫자이며 100이 가장 높은 우선순위입니다. 규칙은 우선순위에 따라 처리됩니다. 트래픽이 규칙 일치와 만나면 규칙 처리가 중지됩니다. 우선순위가 높은 규칙과 동일한 속성을 가진 우선순위가 낮은 규칙은 처리되지 않습니다. 규칙이 충돌하지 않도록 주의하세요.
트래픽 유형 추적은 스테이트리스(Stateless)(프라이빗 클라우드, 인터넷 또는 VPN) 또는 스테이트풀(Stateful)(공개 IP)일 수 있습니다.
프로토콜 규칙에 TCP 또는 UDP 프로토콜이 포함되는지 여부입니다.
방향 규칙이 인바운드 또는 아웃바운드 트래픽에 적용되는지 여부입니다. 인바운드 및 아웃바운드 트래픽에 대해 별도의 규칙을 정의해야 합니다.
작업 규칙에 정의된 트래픽 유형을 허용 또는 거부합니다.
소스 IP 주소, 클래스 없는 도메인 간 라우팅(CIDR) 블록(예시: 10.0.0.0/24) 또는 임의. 범위, 서비스 태그, 또는 애플리케이션 보안 그룹을 지정하면 더 적은 보안 규칙을 만들 수 있습니다.
소스 포트 범위 네트워크 트래픽이 시작된 포트입니다. 443 또는 8000-8080처럼 개별 포트를 지정하거나 포트 범위를 지정할 수 있습니다. 범위를 지정하면 만들어야 하는 보안 규칙의 수가 줄어듭니다.
대상 IP 주소, CIDR 블록(예시: 10.0.0.0/24) 또는 임의. 범위, 서비스 태그, 또는 애플리케이션 보안 그룹을 지정하면 더 적은 보안 규칙을 만들 수 있습니다.
대상 포트 범위 네트워크 트래픽이 전달되는 포트입니다. 443 또는 8000-8080처럼 개별 포트를 지정하거나 포트 범위를 지정할 수 있습니다. 범위를 지정하면 만들어야 하는 보안 규칙의 수가 줄어듭니다.