방화벽 테이블 개요
방화벽 테이블에는 프라이빗 클라우드 리소스로 들어오고 나가는 네트워크 트래픽을 필터링하는 규칙이 나열됩니다. 방화벽 테이블을 VLAN/서브넷에 적용할 수 있습니다. 규칙은 원본 네트워크 또는 IP 주소와 대상 네트워크 또는 IP 주소 간의 네트워크 트래픽을 제어합니다.
다음 표에서는 방화벽 규칙의 매개 변수에 대해 설명합니다.
| 속성 | 세부 정보 |
|---|---|
| 이름 | 방화벽 규칙과 그 목적을 고유하게 식별하는 이름입니다. |
| 우선 순위 | 100에서 4096 사이의 숫자이며 100이 가장 높은 우선 순위입니다. 규칙은 우선 순위에 따라 처리됩니다. 트래픽이 규칙 일치를 만나면 규칙 처리가 중지됩니다. 결과적으로 우선 순위가 더 높은 규칙과 동일한 특성을 가진 더 낮은 우선 순위의 규칙은 처리되지 않습니다. 충돌하는 규칙을 피하도록 주의합니다. |
| 상태 추적 | 추적은 상태 비저장(프라이빗 클라우드, 인터넷 또는 VPN) 또는 상태 저장(공용 IP)일 수 있습니다. |
| 프로토콜 | 옵션에는 Any, TCP 또는 UDP가 있습니다. ICMP가 필요한 경우 Any를 사용합니다. |
| 방향 | 규칙이 인바운드 또는 아웃바운드 트래픽에 적용되는지 여부입니다. |
| 동작 | 규칙에 정의된 트래픽 유형에 대해 허용 또는 거부합니다. |
| 원본 | IP 주소, CIDR(Classless Inter-Domain Routing) 블록(예: 10.0.0.0/24) 또는 Any. 범위, 서비스 태그 또는 애플리케이션 보안 그룹을 지정하면 더 적은 보안 규칙을 만들어도 됩니다. |
| 원본 포트 | 네트워크 트래픽이 시작되는 포트입니다. 443 또는 8000-8080과 같이 개별 포트 또는 포트 범위를 지정할 수 있습니다. 범위를 지정하면 더 적은 보안 규칙을 만들어도 됩니다. |
| 대상 | IP 주소, CIDR(Classless Inter-Domain Routing) 블록(예: 10.0.0.0/24) 또는 Any. 범위, 서비스 태그 또는 애플리케이션 보안 그룹을 지정하면 더 적은 보안 규칙을 만들어도 됩니다. |
| 대상 포트 | 네트워크 트래픽이 흐르는 포트입니다. 443 또는 8000-8080과 같이 개별 포트 또는 포트 범위를 지정할 수 있습니다. 범위를 지정하면 더 적은 보안 규칙을 만들어도 됩니다. |
상태 비저장 규칙은 개별 패킷만 보고 규칙에 따라 필터링합니다.
역방향의 트래픽 흐름에 대해 추가 규칙이 필요할 수 있습니다. 다음 지점 간의 트래픽에 대해 상태 비저장 규칙을 사용합니다.
- 프라이빗 클라우드의 서브넷
- 온-프레미스 서브넷 및 프라이빗 클라우드 서브넷
- 프라이빗 클라우드의 인터넷 트래픽
상태 저장 규칙은 통과하는 연결을 인식합니다. 기존 연결에 대한 흐름 레코드가 만들어집니다. 통신은 흐름 레코드의 연결 상태에 따라 허용 또는 거부됩니다. 공용 IP 주소에 대해 이 규칙 유형을 사용하여 인터넷에서 들어오는 트래픽을 필터링합니다.
다음 기본 규칙은 모든 방화벽 테이블에 만들어집니다.
| 우선 순위 | Name | 상태 추적 | Direction | 트래픽 유형 | 프로토콜 | 원본 | 원본 포트 | 대상 | 대상 포트 | 작업 |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | 상태 저장 | 아웃바운드 | 공용 IP 또는 인터넷 트래픽 | 모두 | 모두 | 모두 | 모두 | 모두 | 허용 |
| 65001 | 인터넷에서 모두 거부 | 상태 저장 | 인바운드 | 공용 IP 또는 인터넷 트래픽 | 모두 | 모두 | 모두 | 모두 | 모두 | 거부 |
| 65002 | allow-all-to-intranet | 상태 비저장 | 아웃바운드 | 프라이빗 클라우드 내부 또는 VPN 트래픽 | 모두 | 모두 | 모두 | 모두 | 모두 | Allow |
| 65003 | allow-all-from-intranet | 상태 비저장 | 인바운드 | 프라이빗 클라우드 내부 또는 VPN 트래픽 | 모두 | 모두 | 모두 | 모두 | 모두 | Allow |