ネットワーク コンテキスト

ネットワーク コンテキストを使用すると、ファイアウォール ポリシー ルールをより効率的に使用して、セキュリティ目標を達成できます。Cloud NGFW は、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーのルールで送信元と宛先の組み合わせを作成するために使用できる 4 つのネットワーク コンテキストをサポートしています。

次の表に、4 つのネットワーク コンテキストをファイアウォール ルールで使用する方法を示します。

ネットワーク コンテキスト	サポートされているターゲット タイプ		サポートされている方向、ソースの組み合わせ、宛先の組み合わせ
	INSTANCES	INTERNAL_MANAGED_LB	上り（内向き）ルールの送信元組み合わせ	下り（外向き）ルールの宛先の組み合わせ
インターネット（INTERNET）
インターネット以外（NON_INTERNET）
VPC ネットワーク（VPC_NETWORKS）
VPC 内（INTRA_VPC）

インターネットとインターネット以外のネットワーク コンテキストは相互に排他的です。VPC ネットワークと VPC 内ネットワークのコンテキストは、インターネット以外のネットワーク コンテキストのサブセットです。

インターネット ネットワーク コンテキスト

internet ネットワーク コンテキスト（INTERNET）は、上り（内向き）ルールの送信元組み合わせの一部として、または下り（外向き）ルールの宛先組み合わせの一部として使用できます。

• 上り（内向き）ルールの場合は、インターネット コンテキストの送信元と、セキュアタグの送信元を除く他の送信元パラメータを少なくとも 1 つ指定します。パケットが他のソース パラメータと上り（内向き）パケットのインターネット ネットワーク コンテキスト条件の少なくとも 1 つに一致する場合、パケットは上り（内向き）ルールに一致します。

• 下り（外向き）ルールの場合、インターネット コンテキストの宛先と、少なくとも 1 つの他の宛先パラメータを指定します。パケットは、他の宛先パラメータと下り（外向き）パケットのインターネット ネットワーク コンテキスト条件の少なくとも 1 つと一致する場合、下り（外向き）ルールと一致します。

インターネット ネットワーク コンテキストの条件

このセクションでは、Cloud Next Generation Firewall がパケットがインターネット ネットワーク コンテキストに属するかどうかを判断するために使用する条件について説明します。

上り（内向き）パケットのインターネット ネットワーク コンテキスト

Google Maglev によって仮想マシン（VM）ネットワーク インターフェースに転送された上り（内向き）パケットは、インターネット ネットワーク コンテキストに属します。パケットの宛先が次のいずれかと一致する場合、パケットは Maglev によって VM ネットワーク インターフェースにルーティングされます。

• VM ネットワーク インターフェースのリージョン外部 IPv4 アドレス、外部パススルー ネットワーク ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。
• VM ネットワーク インターフェース、外部パススルー ネットワーク ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレス。パケットがローカル サブネット ルート、VPC ネットワーク ピアリングによってインポートされたサブネット ルート、または NCC ハブの VPC スポークからインポートされたサブネット ルートを使用してルーティングされていない場合。

外部パススルー ネットワーク ロードバランサまたは外部プロトコル転送のバックエンド VM に Maglev によってルーティングされるパケットの詳細については、外部パススルー ネットワーク ロードバランサと外部プロトコル転送のパスをご覧ください。

下り（外向き）パケットのインターネット ネットワーク コンテキスト

VM ネットワーク インターフェースから送信され、ネクストホップがデフォルトのインターネット ゲートウェイである静的ルートによってルーティングされるほとんどの下り（外向き）パケットは、インターネット ネットワーク コンテキストに属します。ただし、これらの下り（外向き）パケットの宛先 IP アドレスがグローバル Google API とサービスの場合、これらのパケットはインターネット以外のネットワーク コンテキストに属します。グローバル Google API とサービスへの接続の詳細については、インターネット以外のネットワーク コンテキストをご覧ください。

ネクストホップがデフォルトのインターネット ゲートウェイである静的ルートを使用してパケットがルーティングされる場合、VM ネットワーク インターフェースから次の宛先に送信されるパケットは、インターネット ネットワーク コンテキストに属します。

• Google ネットワーク外の外部 IP アドレスの宛先。
• VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv4 アドレスの宛先。
• VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレスの宛先。
• グローバル外部ロードバランサの転送ルールのグローバル外部 IPv4 アドレスと IPv6 アドレスの宛先。

VM ネットワーク インターフェースから Cloud VPN ゲートウェイと Cloud NAT ゲートウェイに送信されたパケットは、インターネット ネットワーク コンテキストに属します。

• Cloud VPN ソフトウェアを実行している VM のネットワーク インターフェースから Cloud VPN ゲートウェイのリージョン外部 IPv4 アドレスに送信される下り（外向き）パケットは、インターネット ネットワーク コンテキストに属します。
• 1 つの Cloud VPN ゲートウェイから別の Cloud VPN ゲートウェイに送信される下り（外向き）パケットは、ファイアウォール ルールが Cloud VPN ゲートウェイに適用されないため、ネットワーク コンテキストに属しません。
• Public NAT の場合、VM ネットワーク インターフェースから Cloud NAT ゲートウェイのリージョン外部 IPv4 アドレスに送信されるレスポンス パケットは、インターネット ネットワーク コンテキストに属します。

VPC ネットワークが VPC ネットワーク ピアリングを使用して接続されている場合、または VPC ネットワークが同じ NCC ハブの VPC スポークとして参加している場合、IPv6 サブネット ルートは、VM ネットワーク インターフェースのリージョン外部 IPv6 アドレスの宛先、リージョン外部ロードバランサの転送ルール、外部プロトコル転送ルールへの接続を提供できます。これらのリージョン外部 IPv6 アドレス宛先への接続がサブネット ルートを使用して提供される場合、宛先はインターネット以外のネットワーク コンテキストにあります。

インターネット以外のネットワーク コンテキスト

非インターネット ネットワーク コンテキスト（NON-INTERNET）は、上り（内向き）ルールの送信元組み合わせの一部として、または下り（外向き）ルールの宛先組み合わせの一部として使用できます。

• 上り（内向き）ルールの場合、インターネット以外のコンテキスト ソースと、セキュアな位置情報または送信元 Google Threat Intelligence リストを除く、他のソース パラメータを 1 つ以上指定します。パケットが、他のソース パラメータと上り（内向き）パケットの非インターネット ネットワーク コンテキスト条件の少なくとも 1 つに一致する場合、パケットは上り（内向き）ルールに一致します。

• 下り（外向き）ルールの場合は、インターネット以外のコンテキストの宛先と、少なくとも 1 つの他の宛先パラメータを指定します。パケットが他の宛先パラメータの少なくとも 1 つと一致し、下り（外向き）パケットの非インターネット ネットワーク コンテキスト条件と一致する場合、パケットは下り（外向き）ルールと一致します。

インターネット以外のネットワーク コンテキストの条件

このセクションでは、パケットが非インターネット ネットワーク コンテキストに属するかどうかを Cloud NGFW が判断するために使用する条件について説明します。

上り（内向き）パケットの非インターネット ネットワーク コンテキスト

パケットが次のいずれかの方法で VM インスタンスのネットワーク インターフェースまたは内部ロードバランサの転送ルールにルーティングされる場合、上り（内向き）パケットは非インターネット ネットワーク コンテキストに属します。

• パケットはサブネット ルートを使用してルーティングされ、パケットの宛先は次のいずれかと一致します。
  • VM ネットワーク インターフェース、内部ロードバランサの転送ルール、または内部プロトコル転送の転送ルールのリージョン内部 IPv4 または IPv6 アドレスの宛先。
  • VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレスの宛先。
• パケットは、静的ルートを使用して、ネクストホップ VM インスタンスまたはネクストホップ内部パススルー ネットワーク ロードバランサに転送されます。
• パケットは、ポリシーベースのルートを使用して、ネクストホップの内部パススルー ネットワーク ロードバランサに転送されます。
• パケットは、次のいずれかの特別なルーティング パスを使用して転送されます。
  • グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、または従来のプロキシ ネットワーク ロードバランサで使用される 2 番目のレイヤの Google Front End から。詳細については、Google Front End とバックエンド間のパスをご覧ください。
  • ヘルスチェック プローバーから。詳細については、ヘルスチェックのパスをご覧ください。
  • TCP 転送用の Identity-Aware Proxy から。詳細については、Identity-Aware Proxy（IAP）のパスをご覧ください。
  • Cloud DNS または Service Directory から。詳細については、Cloud DNS と Service Directory のパスをご覧ください。
  • サーバーレス VPC アクセスから。詳細については、サーバーレス VPC アクセスのパスをご覧ください。
  • グローバル Google API の Private Service Connect エンドポイントから。詳細については、グローバル Google API の Private Service Connect エンドポイントのパスをご覧ください。

グローバル Google API とサービスからの上り（内向き）レスポンス パケットも、非インターネット ネットワーク コンテキストに属します。グローバル Google API とサービスからのレスポンス パケットには、次のいずれかの送信元があります。

• グローバル Google API とサービスで使用されるデフォルト ドメインの IP アドレス。
• private.googleapis.com または restricted.googleapis.com の IP アドレス。
• グローバル Google API 用の Private Service Connect エンドポイント。

下り（外向き）パケットの非インターネット ネットワーク コンテキスト

VM ネットワーク インターフェースから送信された下り（外向き）パケットは、次のいずれかの方法でルーティングされる場合、非インターネット ネットワーク コンテキストに属します。

• パケットはサブネット ルートを使用してルーティングされ、パケットの宛先は次のいずれかと一致します。
  • VM ネットワーク インターフェース、内部ロードバランサの転送ルール、または内部プロトコル転送の転送ルールのリージョン内部 IPv4 または IPv6 アドレスの宛先。
  • VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレスの宛先。
• パケットは動的ルートを使用してルーティングされます。
• パケットは、デフォルト インターネット ゲートウェイではないネクストホップを使用する静的ルートを使用して転送されます。
• パケットは、デフォルトのインターネット ゲートウェイのネクストホップを使用する静的ルートを使用してルーティングされ、パケットの宛先は次のいずれかに一致します。
  • グローバル Google API とサービスで使用されるデフォルト ドメインの IP アドレス。
  • private.googleapis.com または restricted.googleapis.com の IP アドレス。
• パケットは、ポリシーベースのルートを使用して、ネクストホップの内部パススルー ネットワーク ロードバランサに転送されます。
• パケットは、次のいずれかの特別なルーティング パスを使用して転送されます。
  • 第 2 レイヤの Google Front End とバックエンド間のパス
  • ヘルスチェックのパス
  • Identity-Aware Proxy（IAP）のパス
  • Cloud DNS と Service Directory のパス
  • サーバーレス VPC アクセスのパス
  • グローバル Google API の Private Service Connect エンドポイントのパス

VPC ネットワークのコンテキスト

VPC ネットワーク ネットワーク コンテキスト（VPC_NETWORKS）は、上り（内向き）ルールの送信元組み合わせの一部としてのみ使用できます。VPC ネットワーク コンテキストを受信ルールの送信元組み合わせの一部として使用するには、次の操作を行います。

1. 送信元 VPC ネットワークのリストを指定する必要があります。

   • 送信元ネットワーク リストには、少なくとも 1 つの VPC ネットワークが含まれている必要があります。ソース ネットワーク リストには、最大 250 個の VPC ネットワークを追加できます。
   • VPC ネットワークをソース ネットワーク リストに追加するには、その前に VPC ネットワークが存在している必要があります。
   • ネットワークを追加するには、URL 識別子の一部または全体を使用します。
   • ソース ネットワーク リストに追加する VPC ネットワークは、相互に接続されている必要はありません。各 VPC ネットワークは任意のプロジェクトに配置できます。
   • VPC ネットワークがソース ネットワーク リストに追加された後に削除された場合、削除されたネットワークへの参照はリストに残ります。Cloud NGFW は、上り（内向き）ルールを適用するときに、削除された VPC ネットワークを無視します。送信元ネットワーク リスト内のすべての VPC ネットワークが削除されると、リストに依存する上り（内向き）ルールは、どのパケットとも一致しないため無効になります。

2. Google Threat Intelligence リストのソースまたは 位置情報ソースを除く、他のソース パラメータを少なくとも 1 つ指定する必要があります。

パケットは、他の送信元パラメータと VPC ネットワーク コンテキストの基準の少なくとも 1 つに一致する場合、上り（内向き）ルールと一致します。

VPC ネットワーク コンテキストの条件

このセクションでは、パケットが VPC ネットワーク コンテキストに属するかどうかを Cloud NGFW が判断するために使用する条件について説明します。

次の条件がすべて満たされている場合、パケットは送信元組み合わせで VPC ネットワーク コンテキストを使用する上り（内向き）ルールに一致します。

• パケットが他のソース パラメータの少なくとも 1 つに一致する。

• パケットは、送信元 VPC ネットワークのいずれかに存在するリソースによって送信されます。

• 送信元 VPC ネットワークと、上り（内向き）ルールを含むファイアウォール ポリシーが適用される VPC ネットワークは、同じ VPC ネットワークであるか、VPC ネットワーク ピアリングを使用するか、Network Connectivity Center ハブの VPC スポークとして接続されています。

次のリソースは VPC ネットワークにあります。

• VM ネットワーク インターフェース
• Cloud VPN トンネル
• Cloud Interconnect VLAN アタッチメント
• ルーター アプライアンス
• プロキシ専用サブネット内の Envoy プロキシ
• Private Service Connect エンドポイント
• サーバーレス VPC アクセス コネクタ

VPC 内ネットワーク コンテキスト

VPC 内ネットワークのネットワーク コンテキスト（INTRA_VPC）は、上り（内向き）ルールの送信元組み合わせの一部としてのみ使用できます。上り（内向き）ルールのソースの組み合わせの一部として VPC 内ネットワーク コンテキストを使用するには、 Google Threat Intelligence リストのソースまたは 位置情報ソースを除く、他のソース パラメータを 1 つ以上指定する必要があります。

パケットは、他の送信元パラメータと VPC 内ネットワーク コンテキストの基準の少なくとも 1 つに一致する場合、上り（内向き）ルールと一致します。

VPC ネットワーク内のコンテキストの条件

このセクションでは、パケットが VPC 内ネットワーク コンテキストに属するかどうかを判断するために Cloud NGFW が使用する条件について説明します。

次の条件がすべて満たされている場合、パケットは、送信元組み合わせで VPC 内コンテキストを使用する上り（内向き）ルールに一致します。

• パケットが他のソース パラメータの少なくとも 1 つに一致する。

• パケットは、上り（内向き）ルールを含むファイアウォール ポリシーが適用される VPC ネットワーク内のリソースによって送信されます。

次のリソースは VPC ネットワークにあります。

• VM ネットワーク インターフェース
• Cloud VPN トンネル
• Cloud Interconnect VLAN アタッチメント
• ルーター アプライアンス
• プロキシ専用サブネット内の Envoy プロキシ
• Private Service Connect エンドポイント
• サーバーレス VPC アクセス コネクタ