방화벽 테이블
방화벽 테이블에는 프라이빗 클라우드 리소스에 대해 네트워크 트래픽을 필터링하기 위한 규칙이 나열됩니다. 방화벽 규칙은 소스 네트워크 또는 IP 주소와 대상 네트워크 또는 IP 주소 사이의 네트워크 트래픽을 제어합니다.
방화벽 테이블 및 방화벽 규칙을 설정한 후에는 해당 규칙을 적용하기 위해 서브넷에 테이블을 연결할 수 있습니다. 여러 서브넷에 방화벽 테이블을 적용할 수 있지만 서브넷은 방화벽 테이블 하나에만 연결될 수 있습니다.
방화벽 테이블은 외부 IP 주소에 대한 액세스를 제어하는 데 사용됩니다. 다른 모든 액세스 제어의 경우 NSX-T 데이터 센터에서 방화벽 설정을 관리합니다. 자세한 내용은 관리자 모드의 방화벽을 참조하세요.
방화벽 테이블 만들기
- Google Cloud VMware Engine 포털에 액세스
- 네트워크 > 방화벽 테이블로 이동합니다.
- 새 방화벽 테이블 만들기를 클릭합니다.
- 테이블의 이름을 입력합니다.
- 필요한 경우 방화벽 규칙을 추가합니다. 각 방화벽 테이블은 기본 방화벽 규칙 집합부터 시작합니다.
- 완료를 클릭하여 방화벽 테이블을 저장합니다.
서브넷에 방화벽 테이블 연결
방화벽 테이블을 정의한 후에는 테이블의 규칙을 적용할 서브넷을 지정할 수 있습니다.
- 네트워크 > 방화벽 테이블 페이지에서 방화벽 테이블을 선택합니다.
- 연결된 서브넷 탭을 선택합니다.
- 서브넷에 연결을 클릭합니다.
- 방화벽 테이블을 연결할 프라이빗 클라우드를 선택합니다.
- 해당 프라이빗 클라우드의 NsxtEdgeUplink1 서브넷을 선택합니다.
- 제출을 클릭합니다.
- 해당 프라이빗 클라우드의 NsxtEdgeUplink2 서브넷에 대해 위 단계를 반복합니다.
방화벽 규칙
방화벽 규칙은 방화벽이 특정 유형의 트래픽을 처리하는 방식을 결정합니다. 선택한 방화벽 테이블의 규칙 탭에는 연결된 모든 규칙이 나열됩니다.
방화벽 규칙을 만들려면 다음 단계를 따르세요.
- 네트워크 > 방화벽 테이블로 이동합니다.
- 방화벽 테이블을 선택합니다.
- 새 규칙 만들기를 클릭합니다.
- 원하는 방화벽 규칙 속성을 설정합니다.
- 완료를 클릭하여 규칙을 저장하고 방화벽 테이블의 규칙 목록에 추가합니다.
스테이트풀(Stateful) 규칙
스테이트풀(Stateful) 방화벽 규칙은 이를 통과하는 연결을 추적합니다. 스테이트풀(Stateful) 규칙은 기존 연결에 대한 흐름 기록을 만듭니다. 흐름 기록의 연결 상태에 따라 통신이 허용되거나 거부됩니다. 공개 IP 주소에 이 규칙 유형을 사용하여 인터넷에서 트래픽을 필터링합니다.
기본 방화벽 규칙
모든 방화벽 테이블에는 다음과 같은 기본 방화벽 규칙이 있습니다.
| 우선순위 | 이름 | 방향 | 트래픽 유형 | 프로토콜 | 소스 | 소스 포트 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-tcp-to-internet | 아웃바운드 | 공개 IP 또는 인터넷 트래픽 | TCP | 모두 | 모두 | 모두 | 모두 | 허용 |
| 65001 | allow-udp-to-internet | 아웃바운드 | 공개 IP 또는 인터넷 트래픽 | UDP | 모두 | 모두 | 모두 | 모두 | 허용 |
| 65002 | allow-icmp-to-internet | 아웃바운드 | 공개 IP 또는 인터넷 트래픽 | ICMP | 모두 | 모두 | 모두 | 모두 | 허용 |
| 65100 | 인터넷에서 모두 거부 | 수신 | 공개 IP 또는 인터넷 트래픽 | 모든 프로토콜 | 모두 | 모두 | 모두 | 모두 | 거부 |
| 65101 | 인트라넷에 모두 허용 | 아웃바운드 | 프라이빗 클라우드 내부 또는 VPN 트래픽 | 모든 프로토콜 | 모두 | 모두 | 모두 | 모두 | 허용 |
| 65102 | 인트라넷에서 모두 허용 | 수신 | 프라이빗 클라우드 내부 또는 VPN 트래픽 | 모든 프로토콜 | 모두 | 모두 | 모두 | 모두 | 허용 |
방화벽 규칙 속성
다음 테이블에서는 방화벽 규칙의 매개변수를 설명합니다.
| 속성 | 설명 |
|---|---|
| 이름 | 방화벽 규칙과 목적을 고유하게 식별하는 이름입니다. |
| 우선순위 | 100~4096 사이의 숫자이며 100이 가장 높은 우선순위입니다. 규칙은 우선순위에 따라 처리됩니다. 트래픽이 규칙 일치와 만나면 규칙 처리가 중지됩니다. 우선순위가 높은 규칙과 동일한 속성을 가진 우선순위가 낮은 규칙은 처리되지 않습니다. 규칙이 충돌하지 않도록 주의하세요. |
| 프로토콜 | 규칙이 적용되는 인터넷 프로토콜입니다. |
| 방향 | 규칙이 인바운드 또는 아웃바운드 트래픽에 적용되는지 여부입니다. 인바운드 및 아웃바운드 트래픽에 대해 별도의 규칙을 정의해야 합니다. |
| 작업 | 규칙에 정의된 트래픽 유형을 허용 또는 거부합니다. |
| 소스 | IP 주소, 클래스 없는 도메인 간 라우팅(CIDR) 블록(예시: 10.0.0.0/24) 또는 임의. |
| 소스 포트 범위 | 네트워크 트래픽이 시작된 포트입니다. 443 또는 8000-8080처럼 개별 포트를 지정하거나 포트 범위를 지정할 수 있습니다. 범위를 지정하면 만들어야 하는 보안 규칙의 수가 줄어듭니다. |
| 대상 | IP 주소, CIDR 블록(예시: 10.0.0.0/24) 또는 임의. |
| 대상 포트 범위 | 네트워크 트래픽이 전달되는 포트입니다. 443 또는 8000-8080처럼 개별 포트를 지정하거나 포트 범위를 지정할 수 있습니다. 범위를 지정하면 만들어야 하는 보안 규칙의 수가 줄어듭니다. |