以下各節說明 Cloud Next Generation Firewall 如何使用網路類型分類流量。如要進一步瞭解網路類型,請參閱「網路類型」。
網際網路網路類型條件
本節說明 Cloud Next Generation Firewall 用來判斷封包是否屬於網際網路網路類型的條件。
傳入封包的網際網路網路類型
由 Google Maglev 轉送至虛擬機器 (VM) 網路介面的輸入封包屬於網際網路網路類型。當封包目的地符合下列其中一項條件時,Maglev 會將封包轉送至 VM 網路介面:
- VM 網路介面的地區性外部 IPv4 位址、外部直通式網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- VM 網路介面的地區性外部 IPv6 位址、外部直通網路負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則,且封包並未使用本機子網路路徑或透過虛擬私有雲網路對等互連匯入的子網路路徑,或來自網路連線中心中樞的虛擬私有雲網路支點。
如要進一步瞭解 Maglev 路由至外部直通式網路負載平衡器或外部通訊協定轉送後端 VM 的封包,請參閱「外部直通式網路負載平衡器和外部通訊協定轉送的路徑」。
外送封包的網際網路類型
從 VM 網路介面傳送的大部分輸出封包,都是透過下一個躍點為預設網際網路閘道的靜態路徑傳送,屬於網際網路網路類型。不過,如果這些輸出封包的目的地 IP 位址是全球 Google API 和服務,這些封包就屬於非網際網路網路類型。如要進一步瞭解如何連線至全球 Google API 和服務,請參閱「非網際網路網路類型」。
如果封包是透過下一個躍點為預設網際網路閘道的靜態路由轉送,則 VM 網路介面傳送至下列目的地的任何封包,都屬於網際網路網路類型:
- Google 網路以外的外部 IP 位址目的地。
- VM 網路介面的地區外部 IPv4 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 全域外部負載平衡器轉送規則的全域外部 IPv4 和 IPv6 位址目的地。
VM 網路介面傳送至 Cloud VPN 和 Cloud NAT 閘道的封包屬於網際網路網路類型:
- 從執行 Cloud VPN 軟體的 VM 網路介面傳送至 Cloud VPN 閘道區域外部 IPv4 位址的輸出封包,屬於網際網路網路類型。
- 從一個 Cloud VPN 閘道傳送至另一個 Cloud VPN 閘道的輸出封包不屬於任何網路類型,因為防火牆規則不適用於 Cloud VPN 閘道。
- 如果是 Public NAT,從 VM 網路介面傳送至 Cloud NAT 閘道區域外部 IPv4 位址的回應封包,屬於網際網路網路類型。
如果虛擬私有雲網路是透過虛擬私有雲網路對等互連連線,或是虛擬私有雲網路以虛擬私有雲輪輻的形式參與同一個網路連線中心中樞,IPv6 子網路路徑就能連線至 VM 網路介面的區域外部 IPv6 位址目的地、區域外部負載平衡器轉送規則,以及外部通訊協定轉送規則。如果使用子網路路徑提供這些區域性外部 IPv6 位址目的地的連線,目的地會改為非網際網路網路類型。
非網際網路網路類型的條件
本節說明 Cloud NGFW 用來判斷封包是否屬於非網際網路網路類型的條件。
傳入封包的非網際網路網路類型
如果封包以以下任一方式,路由至 VM 執行個體的網路介面或內部負載平衡器轉送規則,則輸入封包屬於非網際網路網路類型:
- 封包會使用子網路路徑轉送,且封包目的地符合下列其中一項條件:
- VM 網路介面的地區性內部 IPv4 或 IPv6 位址目的地、內部負載平衡器的轉送規則,或內部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 封包會使用靜態路徑,轉送至下一個躍點 VM 執行個體或下一個躍點內部直通網路負載平衡器。
- 封包會使用以政策為準的路由,轉送至下一個躍點內部直通式網路負載平衡器。
- 封包會使用下列其中一個特殊轉送路徑轉送:
- 來自第二層 Google Front End,由全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、全域外部 Proxy 網路負載平衡器或傳統版 Proxy 網路負載平衡器使用。詳情請參閱「Google 前端與後端之間的路徑」。
- 來自健康狀態檢查探測要求。詳情請參閱健康狀態檢查的路徑。
- 從 Identity-Aware Proxy 進行 TCP 轉送。詳情請參閱「Identity-Aware Proxy (IAP) 的路徑」。
- 來自 Cloud DNS 或 Service Directory。詳情請參閱「Cloud DNS 和 Service Directory 的路徑」。
- 從無伺服器虛擬私有雲存取。詳情請參閱「無伺服器虛擬私有雲存取路徑」。
- 從全域 Google API 的 Private Service Connect 端點。詳情請參閱「全球 Google API 的 Private Service Connect 端點路徑」。
來自全球 Google API 和服務的 Ingress 回應封包也屬於非網際網路網路類型。全球 Google API 和服務的回應封包可能來自下列任一來源:
- 全球 Google API 和服務使用的預設網域 IP 位址。
private.googleapis.com或restricted.googleapis.com的 IP 位址。- 適用於全球 Google API 的 Private Service Connect 端點。
輸出封包的非網際網路網路類型
如果 VM 網路介面傳送的輸出封包是透過下列任一方式轉送,則這些封包屬於非網際網路類型:
- 封包會使用子網路路徑轉送,且封包目的地符合下列其中一項條件:
- VM 網路介面的地區性內部 IPv4 或 IPv6 位址目的地、內部負載平衡器的轉送規則,或內部通訊協定轉送的轉送規則。
- VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則,或外部通訊協定轉送的轉送規則。
- 封包會使用動態路徑轉送。
- 封包會透過靜態路徑轉送,而這些路徑使用的下一個躍點「不是」預設網際網路閘道。
- 封包會透過使用預設網際網路閘道下一個躍點的靜態路徑轉送,且封包目的地符合下列其中一項條件:
- 全球 Google API 和服務使用的預設網域 IP 位址。
private.googleapis.com或restricted.googleapis.com的 IP 位址。
- 封包會使用以政策為準的路由,轉送至下一個躍點內部直通式網路負載平衡器。
- 封包會使用下列其中一個特殊轉送路徑轉送:
虛擬私有雲網路類型條件
本節說明 Cloud NGFW 用來判斷封包是否屬於虛擬私有雲網路類型的條件。
如果符合下列所有條件,封包就會符合在來源組合中使用 VPC 網路類型的連入規則:
封包符合至少一個其他來源參數。
封包是由其中一個來源虛擬私有雲網路中的資源傳送。
來源 VPC 網路和套用含有連入規則的防火牆政策的 VPC 網路是同一個 VPC 網路,或是透過 VPC 網路對等互連方式連線,或做為 Network Connectivity Center 中樞上的 VPC 輪輻。
下列資源位於虛擬私有雲網路中:
- VM 網路介面
- Cloud VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備
- 僅限 Proxy 的子網路中的 Envoy Proxy
- Private Service Connect 端點
- 無伺服器虛擬私人雲端存取連接器
虛擬私有雲網路內部類型條件
本節說明 Cloud NGFW 用來判斷封包是否屬於 VPC 內網路類型的條件。
如果符合下列所有條件,封包就會符合在來源組合中使用虛擬私有雲內類型傳輸規則:
封包符合至少一個其他來源參數。
封包是由虛擬私有雲網路中的資源傳送,而該網路適用於包含輸入規則的防火牆政策。
下列資源位於虛擬私有雲網路中:
- VM 網路介面
- Cloud VPN 通道
- Cloud Interconnect VLAN 連結
- 路由器設備
- 僅限 Proxy 的子網路中的 Envoy Proxy
- Private Service Connect 端點
- 無伺服器虛擬私有雲存取連接器