GCP(Google Cloud) 방화벽 설정: 프로토콜과 포트를 사용 허용 또는 거부하기

Google Cloud Platform(이하 GCP)에서는 방화벽을 설정하는 방법을 설명합니다.

GCP에서 서버를 구축하고 외부 인터넷 망을 통해서 해당 서버에 접속하는 경우 방화벽에서 특정 프로토콜과 포트를 허용해야 합니다. 예를 들어서 GCP에 Python Flask 구동시키는 경우 'TCP 5000'번을 사용하고 이를 방화벽에서 '수신' 허용해야 합니다.

GCP는 패킷이 GCP에서 외부망으로 나가는 Outbound는 모든 프로토콜과 포트가 허용되어 있는 것으로 보이고, 외부망에서 GCP로 접속하는 Inboond는 TCP/UDP/ICMP 프로토콜과 80/443/22/3389 포트만 허용되어 있습니다. GCP 방화벽 설정 자체는 개념만 이해하고 있으면 Google Cloud Console에서 아래와 UI를 제공하고 있어 쉽게 적용 및 수정이 가능합니다.

GCP 방화벽 기본 설정

http tcp 80 포트 수신 허용 (VM 생성 시 http 접속 허용한 경우) : 외부 망에서 http로 접근 가능 (웹 서버로 운영 시)
https tcp 443 포트 수신 허용 (VM 생성 시 https 접속 허용한 경우): 외부 망에서 https로 접근 가능 (웹 서버로 운영 시)
icmp 포트 수신 허용 (멀티 캐스팅 수신 허용, Internet Control Message Protocol): 외부망에서 ping 오류 시 확인 가능
rdp tcp:3389 : 외부망에서 원격 데스크톱 수신 허용 (※ rdp는 기본적으로는 윈도우용에서 사용할 목적으로 보이며, 우분투에서 어떻게 사용해야 하는지 포스팅 에정입니다.)
ssh tcp:22: 외부망에서 SSH 접속 허용
내부 망 정책 (tcp:0-65535, udp:0-65535, icmp): 같은 네트워크 상에서는 tcp, udp icmp의 모든 포트 허용

GCP 방화벽 설정 방법

Google Cloud Planform console에서 'VPC 네트워크' 메뉴에서 GCP 사용 목적에 따라서 방화벽을 설정할 수 있습니다. 보안을 강화하는 경우에는 방화벽에서 tcp, udp의 포트 자체를 막거나, 특정 IP만 허용할 수 있습니다. 반대로 특정 프로토콜과 포트를 허용하도록 설정도 가능합니다. 설정 방법은 아래와 같습니다.

Google Cloud Platform Console에서 VPC 네트워크 메뉴에서 '방화벽' 선택
'방화벽 규칙 만들기' 선택
방화벽 이름 지정
트래픽 방향: 수신 (Inbound) 또는 송신 (Outbound) 허용, 외부에서 GCP 서버에 접근하기 위해서는 '수신'을 선택
소스 범위 선택: 특정 IP 선택 또는 모든 IP를 허용. 모든 IP를 허용하는 경우에는 '0.0.0.0/0' 입력
프로토콜과 포트 선택: TCP, UDP의 포트를 지정 (Flask와 같은 경우에는 TCP에 5000번 입력)