הקשרים של רשתות

הקשרים ברשת עוזרים לכם להשיג את יעדי האבטחה שלכם באמצעות שימוש יעיל יותר בפחות כללי מדיניות של חומת אש. ‫Cloud NGFW תומך בארבעה הקשרים ברשת שאפשר להשתמש בהם כדי ליצור שילוב של מקור או שילוב של יעד בכלל של מדיניות חומת אש היררכית, מדיניות חומת אש גלובלית ברשת או מדיניות חומת אש אזורית ברשת.

בטבלה הבאה אפשר לראות איך אפשר להשתמש בארבעת ההקשרים של הרשת בכללי חומת אש.

הקשרים של רשתות	סוג היעד הנתמך		שילוב נתמך של כיוון, מקור או יעד
	INSTANCES	INTERNAL_MANAGED_LB	שילוב המקור של כלל כניסה	שילוב היעד של כלל יציאה
אינטרנט (INTERNET)
לא באינטרנט (NON_INTERNET)
רשתות VPC (VPC_NETWORKS)
תוך VPC‏ (INTRA_VPC)

ההקשרים של רשתות אינטרנט ורשתות לא אינטרנטיות הם בלעדיים. רשתות ה-VPC וההקשרים של רשתות ה-VPC הפנימיות הם קבוצות משנה של הקשר הרשת שאינו אינטרנט.

הקשר של רשת האינטרנט

אפשר להשתמש בהקשר של רשת האינטרנט (INTERNET) כחלק משילוב של מקור בכלל כניסה או כחלק משילוב של יעד בכלל יציאה:

• בכלל כניסה, מציינים את המקור של הקשר באינטרנט ולפחות פרמטר מקור אחד נוסף, למעט מקור תג מאובטח. התאמה של מנות לכלל של תעבורה נכנסת מתבצעת אם יש התאמה לפחות לאחד מפרמטרי המקור האחרים וגם לקריטריונים של הקשר רשת האינטרנט למנות של תעבורה נכנסת.

• עבור כלל יציאה, מציינים את היעד בהקשר של האינטרנט ולפחות פרמטר יעד אחד נוסף. מנות תואמות לכלל היציאה אם הן תואמות לפחות לאחד מפרמטרים היעד האחרים ולקריטריונים של הקשר רשת האינטרנט עבור מנות יוצאות.

קריטריונים להקשר של רשת האינטרנט

בקטע הזה מפורטים הקריטריונים שלפיהם Cloud Next Generation Firewall קובע אם חבילת נתונים שייכת להקשר של רשת האינטרנט.

הקשר של רשת האינטרנט לחבילות נתונים נכנסות (ingress)

מנות נכנסות שמנותבות לממשק רשת של מכונה וירטואלית (VM) על ידי Maglev של Google שייכות להקשר של רשת האינטרנט. חבילות מנותבות על ידי Maglev לממשק רשת של מכונה וירטואלית כשהיעד של החבילה תואם לאחד מהבאים:

• כתובת IPv4 חיצונית אזורית של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי או כלל העברה להעברת פרוטוקול חיצוני.
• כתובת IPv6 חיצונית אזורית של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי או כלל העברה להעברת פרוטוקול חיצוני, ו החבילה לא נותבה באמצעות נתיב של רשת משנה מקומית או נתיב של רשת משנה שיובא על ידי קישור בין רשתות VPC שכנות או מרשת משנה מסוג spoke ב-VPC במרכז NCC.

למידע נוסף על חבילות שמנותבות על ידי Maglev למכונות וירטואליות בקצה העורפי עבור מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי או העברת פרוטוקול חיצונית, אפשר לעיין במאמר נתיבים למאזני עומסי רשת חיצוניים להעברת סיגנל ללא שינוי ולהעברת פרוטוקול חיצונית.

הקשר של רשת האינטרנט למנות יוצאות

רוב חבילות הנתונים היוצאות שנשלחות מממשקי רשת של מכונות וירטואליות, שמנותבות על ידי נתיב סטטי שהצעד הבא שלו הוא שער האינטרנט שמוגדר כברירת מחדל, שייכות להקשר של רשת האינטרנט. עם זאת, אם כתובות ה-IP של היעד של מנות הנתונים האלה הן של ממשקי API ושירותים גלובליים של Google, המנות האלה שייכות להקשר של רשת שאינה אינטרנט. מידע נוסף על קישוריות לממשקי Google API ולשירותים גלובליים זמין במאמר הקשר רשת שאינו אינטרנט.

כשמנות מנותבות באמצעות מסלול סטטי שהצעד הבא שלו הוא שער האינטרנט שמוגדר כברירת מחדל, כל המנות שנשלחות מממשקי הרשת של המכונה הווירטואלית ליעדים הבאים שייכות להקשר של רשת האינטרנט:

• יעד של כתובת IP חיצונית מחוץ לרשת של Google.
• כתובת IPv4 חיצונית אזורית של יעד בממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסים חיצוני אזורי או כלל העברה להעברת פרוטוקול חיצוני.
• יעד של כתובת IPv6 חיצונית אזורית של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסים חיצוני אזורי או כלל העברה להעברת פרוטוקול חיצוני.
• יעד של כתובת IPv4 ו-IPv6 חיצונית גלובלית של כלל העברה של מאזן עומסים חיצוני גלובלי.

חבילות שנשלחות מממשקי הרשת של המכונה הווירטואלית לשערי Cloud VPN ו-Cloud NAT שייכות להקשר של רשת האינטרנט:

• מנות יוצאות שנשלחות מממשק רשת של מכונה וירטואלית שמופעלת בה תוכנת Cloud VPN לכתובת IPv4 חיצונית אזורית של שער Cloud VPN שייכות להקשר של רשת האינטרנט.
• מנות יוצאות שנשלחות משער Cloud VPN אחד לשער Cloud VPN אחר לא שייכות להקשר רשת כלשהו, כי כללי חומת האש לא חלים על שערי Cloud VPN.
• ב-NAT ציבורי, חבילות תגובה שנשלחות מממשק רשת של מכונה וירטואלית לכתובת IPv4 חיצונית אזורית של שער Cloud NAT שייכות להקשר של רשת האינטרנט.

אם רשתות VPC מחוברות באמצעות VPC Network Peering או אם רשתות VPC משתתפות כרשתות משנה של VPC באותו רכזת NCC, נתיבי רשת משנה של IPv6 יכולים לספק קישוריות ליעדים של כתובות IPv6 חיצוניות אזוריות של ממשקי רשת של מכונות וירטואליות, לכללי העברה של מאזני עומסים חיצוניים אזוריים ולכללי העברה של פרוטוקולים חיצוניים. אם הקישוריות ליעדים של כתובות IPv6 חיצוניות אזוריות מסופקת באמצעות נתיב של רשת משנה, היעדים נמצאים בהקשר של רשת לא אינטרנטית.

הקשר של רשת שלא מחוברת לאינטרנט

אפשר להשתמש בהקשר הרשת non-internet ‏ (NON-INTERNET) כחלק משילוב מקור של כלל כניסה או כחלק משילוב יעד של כלל יציאה:

• עבור כלל כניסה, מציינים את המקור בהקשר שאינו אינטרנט ולפחות פרמטר מקור אחד אחר, למעט מקור רשימה של Google Threat Intelligence או מקור מיקום גיאוגרפי. מנות תואמות לכלל התעבורה הנכנסת אם הן תואמות לפחות לאחד מפרמטרי המקור האחרים וגם לקריטריונים של הקשר רשת שאינה אינטרנט עבור מנות של תעבורה נכנסת.

• עבור כלל יציאה, מציינים את היעד בהקשר שאינו אינטרנט ולפחות פרמטר יעד אחד נוסף. מנות מתאימות לכלל היציאה אם הן מתאימות לפחות לאחד מפרמטרים היעד האחרים וגם לקריטריונים של הקשר רשת שאינה אינטרנט עבור מנות יוצאות.

קריטריונים להקשר של רשת שלא מחוברת לאינטרנט

בקטע הזה מפורטים הקריטריונים שלפיהם Cloud NGFW קובע אם חבילת נתונים שייכת להקשר של רשת שאינה אינטרנט.

הקשר של רשת שאינה אינטרנטית לחבילות נכנסות

מנות נכנסות שייכות להקשר של רשת שאינה אינטרנטית אם המנות מנותבות לממשק הרשת של מכונה וירטואלית או לכלל העברה של מאזן עומסים פנימי באחת מהדרכים הבאות:

• הניתוב של החבילות מתבצע באמצעות ניתוב לרשת משנה, ויעדי החבילות תואמים לאחד מהבאים:
  • יעד אזורי פנימי של כתובת IPv4 או IPv6 של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסים פנימי או כלל העברה להעברת פרוטוקול פנימית.
  • יעד של כתובת IPv6 חיצונית אזורית של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסים חיצוני אזורי או כלל העברה להעברת פרוטוקול חיצוני.
• המנות מנותבות באמצעות מסלול סטטי למכונה וירטואלית של הצעד הבא או למאזן עומסי רשת פנימי של הצעד הבא להעברת סיגנל ללא שינוי.
• המנות מנותבות באמצעות ניתוב מבוסס-מדיניות למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי של הצעד הבא למעבר.
• הניתוב של החבילות מתבצע באמצעות אחת מנתיבי הניתוב המיוחדים הבאים:
  • מממשק קצה של Google בשכבה השנייה שמשמש מאזן עומסים גלובלי חיצוני של אפליקציות (ALB), מאזן עומסים של אפליקציות (ALB) בגרסה הקלאסית, מאזן עומסי רשת גלובלי חיצוני בשרת proxy או מאזן עומסי רשת בשרת proxy בגרסה הקלאסית. מידע נוסף מופיע במאמר בנושא נתיבים בין חזיתות קצה של Google לבין קצה עורפי.
  • מבדיקה של תקינות שרתים. מידע נוסף זמין במאמר נתיבים לבדיקות תקינות.
  • מתוך שרת proxy לאימות זהויות (IAP) להעברת TCP. מידע נוסף זמין במאמר נתיבים לשרת proxy לאימות זהויות (IAP).
  • מ-Cloud DNS או מ-Service Directory. מידע נוסף מופיע במאמר בנושא נתיבים ל-Cloud DNS ול-Service Directory.
  • מחיבור לרשת (VPC) מאפליקציית serverless. מידע נוסף זמין במאמר נתיבים לחיבור לרשת (VPC) מאפליקציית serverless.
  • מנקודת קצה של Private Service Connect ל-Google APIs גלובליים. מידע נוסף זמין במאמר נתיבים לנקודות קצה של Private Service Connect ל-Google APIs גלובליים.

מנות תגובה של Ingress מ-Google APIs ושירותים גלובליים שייכות גם הן להקשר של רשת שאינה אינטרנט. מנות תגובה מממשקי Google APIs ושירותים גלובליים יכולות להגיע מהמקורות הבאים:

• כתובת IP לדומיינים שמוגדרים כברירת מחדל ומשמשים את ממשקי ה-API והשירותים הגלובליים של Google.
• כתובת IP עבור private.googleapis.com או restricted.googleapis.com.
• נקודת קצה מסוג Private Service Connect ל-Google APIs גלובליים.

הקשר של מנות יוצאות ברשת שאינה אינטרנט

מנות יוצאות שנשלחות מממשקי רשת של מכונה וירטואלית שייכות להקשר של רשת שאינה אינטרנטית אם המנות מנותבות באחת מהדרכים הבאות:

• הניתוב של החבילות מתבצע באמצעות ניתוב לרשת משנה, ויעדי החבילות תואמים לאחד מהבאים:
  • יעד אזורי פנימי של כתובת IPv4 או IPv6 של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסים פנימי או כלל העברה להעברת פרוטוקול פנימית.
  • יעד של כתובת IPv6 חיצונית אזורית של ממשק רשת של מכונה וירטואלית, כלל העברה של מאזן עומסים חיצוני אזורי או כלל העברה להעברת פרוטוקול חיצוני.
• הניתוב של החבילות מתבצע באמצעות ניתוב דינמי.
• ניתוב המנות מתבצע באמצעות מסלולים סטטיים שמשתמשים בצעד הבא שהוא לא שער האינטרנט שמוגדר כברירת מחדל.
• המנות מנותבות באמצעות מסלולים סטטיים שמשתמשים בשער האינטרנט שמוגדר כברירת מחדל לצעד הבא ו ביעדים של המנות שתואמים לאחד מהבאים:
  • כתובת IP לדומיינים שמוגדרים כברירת מחדל ומשמשים את השירותים ואת ממשקי ה-API הגלובליים של Google.
  • כתובת IP עבור private.googleapis.com או restricted.googleapis.com.
• הניתוב של המנות מתבצע באמצעות ניתוב מבוסס-מדיניות למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי של הצעד הבא.
• הניתוב של החבילות מתבצע באמצעות אחת מנתיבי הניתוב המיוחדים הבאים:
  • נתיבים בין הקצה הקדמי של Google בשכבה השנייה לבין הקצה האחורי
  • נתיבים לבדיקות בריאות
  • נתיבים לשרת proxy לאימות זהויות (IAP)
  • נתיבים ל-Cloud DNS ול-Service Directory
  • נתיבים לחיבור לרשת (VPC) מאפליקציית serverless
  • נתיבים לנקודות קצה של Private Service Connect ל-Google APIs גלובליים

הקשר של רשתות VPC

אפשר להשתמש בהקשר של רשת VPC (VPC_NETWORKS) רק כחלק משילוב של מקורות של כלל תעבורה נכנסת. כדי להשתמש בהקשר של רשתות VPC כחלק משילוב מקורות של כלל תעבורת כניסה, צריך לבצע את הפעולות הבאות:

1. צריך לציין רשימה של רשתות VPC של המקור:

   • רשימת רשתות המקור חייבת להכיל לפחות רשת VPC אחת. אפשר להוסיף עד 250 רשתות VPC לרשימת רשתות המקור.
   • כדי להוסיף רשת VPC לרשימת רשתות המקור, היא צריכה להיות קיימת.
   • אפשר להוסיף את הרשת באמצעות מזהה כתובת ה-URL החלקי או המלא שלה.
   • רשתות VPC שמוסיפים לרשימת רשתות המקור לא צריכות להיות מחוברות זו לזו. כל רשת VPC יכולה להיות ממוקמת בכל פרויקט.
   • אם רשת VPC נמחקת אחרי שהיא נוספת לרשימת רשתות המקור, ההפניה לרשת שנמחקה נשארת ברשימה. מערכת Cloud NGFW מתעלמת מרשתות VPC שנמחקו כשהיא אוכפת כלל של תעבורת נתונים נכנסת (ingress). אם כל רשתות ה-VPC ברשימת רשתות המקור נמחקות, כללי הכניסה שמסתמכים על הרשימה לא יעילים כי הם לא תואמים לאף חבילת נתונים.

2. צריך לציין לפחות עוד פרמטר מקור אחד, למעט מקור של רשימת Google Threat Intelligence‏ (a ) או מקור של מיקום גיאוגרפי (geolocation ).

חבילות תואמות לכלל התעבורה הנכנסת אם הן תואמות לפחות לאחד מפרמטרי המקור האחרים ול קריטריונים להקשר של רשתות VPC.

קריטריונים להקשר של רשתות VPC

בקטע הזה מתוארים הקריטריונים שבהם Cloud NGFW משתמש כדי לקבוע אם חבילת נתונים שייכת להקשר של רשתות VPC.

מנות תואמות לכלל תעבורה נכנסת שמשתמש בהקשר של רשתות VPC בשילוב המקור שלהן אם כל התנאים הבאים מתקיימים:

• החבילה תואמת לפחות לאחד מפרמטרי המקור האחרים.

• החבילה נשלחת על ידי משאב שנמצא באחת מרשתות ה-VPC של המקור.

• רשת ה-VPC של המקור ורשת ה-VPC שאליה חלה מדיניות חומת האש שמכילה את כלל התנועה הנכנסת הן אותה רשת VPC, או שהן מחוברות באמצעות VPC Network Peering או כרשתות VPC משניות במרכז Network Connectivity Center.

המשאבים הבאים ממוקמים ברשת VPC:

• ממשקי רשת של מכונות וירטואליות
• מנהרות Cloud VPN
• צירופים ל-VLAN ב-Cloud Interconnect
• נתבים וירטואליים
• שרתי proxy של Envoy בתת-רשת של שרת proxy בלבד
• נקודות קצה של Private Service Connect
• מחברים של חיבור לרשת (VPC) מאפליקציית serverless

הקשר של רשת VPC

אפשר להשתמש בהקשר הרשת intra-VPC networks ‏ (INTRA_VPC) רק כחלק משילוב מקורות של כלל תעבורה נכנסת. כדי להשתמש בהקשר של רשתות VPC פנימיות כחלק משילוב מקורות של כלל תעבורה נכנסת, צריך לציין לפחות עוד פרמטר מקור, למעט מקור רשימת Google Threat Intelligence או מקור מיקום גיאוגרפי.

חבילות תואמות לכלל התנועה הנכנסת אם הן תואמות לפחות לאחד מפרמטרי המקור האחרים וגם לקריטריונים של רשתות VPC פנימיות בהקשר.

קריטריונים להקשר של רשת VPC פנימית

בקטע הזה מפורטים הקריטריונים שבהם Cloud NGFW משתמש כדי לקבוע אם חבילת נתונים שייכת להקשר של רשת VPC פנימית.

מנות תואמות לכלל תעבורה נכנסת שמשתמש בהקשר של intra-VPC בשילוב המקור שלו אם כל התנאים הבאים מתקיימים:

• החבילה תואמת לפחות לאחד מפרמטרי המקור האחרים.

• החבילה נשלחת על ידי משאב שנמצא ברשת ה-VPC שאליה חלה מדיניות חומת האש שמכילה את כלל התנועה הנכנסת.

המשאבים הבאים ממוקמים ברשת VPC:

• ממשקי רשת של מכונות וירטואליות
• מנהרות Cloud VPN
• צירופים ל-VLAN ב-Cloud Interconnect
• נתבים וירטואליים
• שרתי proxy של Envoy בתת-רשת של שרת proxy בלבד
• נקודות קצה של Private Service Connect
• מחברים של חיבור לרשת (VPC) מאפליקציית serverless