Contextes de réseau

Les contextes réseau vous aident à atteindre vos objectifs de sécurité en utilisant moins de règles de stratégie de pare-feu de manière plus efficace. Cloud NGFW est compatible avec quatre contextes réseau qui peuvent être utilisés pour créer une combinaison de sources ou de destinations dans une règle d'une stratégie de pare-feu hiérarchique, d'une stratégie de pare-feu réseau globale ou d'une stratégie de pare-feu réseau régionale.

Le tableau suivant montre comment les quatre contextes réseau peuvent être utilisés dans les règles de pare-feu.

Contextes de réseau	Type de cible compatible		Combinaison de direction, de source ou de destination acceptée
	INSTANCES	INTERNAL_MANAGED_LB	Combinaison de sources d'une règle d'entrée	Combinaison de destinations d'une règle de sortie
Internet (INTERNET)
Non Internet (NON_INTERNET)
Réseaux VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Les contextes réseau Internet et non Internet s'excluent mutuellement. Les contextes de réseau VPC et de réseau intra-VPC sont des sous-ensembles du contexte de réseau hors Internet.

Contexte du réseau Internet

Le contexte réseau internet (INTERNET) peut être utilisé dans une combinaison de sources d'une règle d'entrée ou dans une combinaison de destinations d'une règle de sortie :

• Pour une règle d'entrée, spécifiez la source du contexte Internet et au moins un autre paramètre source, à l'exception d'une source de tag sécurisé. Les paquets correspondent à la règle d'entrée s'ils correspondent à au moins l'un des autres paramètres sources et critères de contexte réseau Internet pour les paquets d'entrée.

• Pour une règle de sortie, spécifiez la destination du contexte Internet et au moins un autre paramètre de destination. Les paquets correspondent à la règle de sortie s'ils correspondent à au moins l'un des autres paramètres de destination et critères de contexte réseau Internet pour les paquets de sortie.

Critères pour le contexte de réseau Internet

Cette section décrit les critères utilisés par Cloud Next Generation Firewall pour déterminer si un paquet appartient au contexte réseau Internet.

Contexte de réseau Internet pour les paquets d'entrée

Les paquets d'Ingress acheminés vers une interface réseau de machine virtuelle (VM) par un Maglev Google appartiennent au contexte réseau Internet. Les paquets sont acheminés par un Maglev vers une interface réseau de VM lorsque la destination du paquet correspond à l'un des éléments suivants :

• Adresse IPv4 externe régionale d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge réseau passthrough externe ou d'une règle de transfert pour le transfert de protocole externe.
• Adresse IPv6 externe régionale d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge réseau passthrough externe ou d'une règle de transfert pour le transfert de protocole externe, et le paquet n'a pas été acheminé à l'aide d'une route de sous-réseau local ou d'une route de sous-réseau importée par l'appairage de réseaux VPC ou à partir d'un VPC spoke sur un hub NCC.

Pour en savoir plus sur les paquets routés par Maglev vers les VM de backend pour un équilibreur de charge réseau passthrough externe ou un transfert de protocole externe, consultez Chemins d'accès pour les équilibreurs de charge réseau passthrough externes et le transfert de protocole externe.

Contexte du réseau Internet pour les paquets de sortie

La plupart des paquets sortants envoyés à partir d'interfaces réseau de VM, acheminés par une route statique dont le prochain saut est la passerelle Internet par défaut, appartiennent au contexte réseau Internet. Toutefois, si les adresses IP de destination de ces paquets sortants concernent des API et services Google globaux, ces paquets appartiennent au contexte réseau non Internet. Pour en savoir plus sur la connectivité aux API et services Google mondiaux, consultez Contexte réseau non Internet.

Lorsque les paquets sont acheminés à l'aide d'une route statique dont le saut suivant est la passerelle Internet par défaut, tous les paquets envoyés par les interfaces réseau de la VM vers les destinations suivantes appartiennent au contexte réseau Internet :

• Destination d'adresse IP externe en dehors du réseau Google.
• Adresse IPv4 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Adresse IPv6 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Adresse IPv4 et IPv6 externe globale de destination d'une règle de transfert d'un équilibreur de charge externe global.

Les paquets envoyés par les interfaces réseau des VM aux passerelles Cloud VPN et Cloud NAT appartiennent au contexte réseau Internet :

• Les paquets de sortie envoyés depuis une interface réseau d'une VM exécutant le logiciel Cloud VPN vers l'adresse IPv4 externe régionale d'une passerelle Cloud VPN appartiennent au contexte réseau Internet.
• Les paquets sortants envoyés d'une passerelle Cloud VPN à une autre n'appartiennent à aucun contexte réseau, car les règles de pare-feu ne s'appliquent pas aux passerelles Cloud VPN.
• Pour Public NAT, les paquets de réponse envoyés depuis une interface réseau de VM vers l'adresse IPv4 externe régionale d'une passerelle Cloud NAT appartiennent au contexte réseau Internet.

Si des réseaux VPC sont connectés à l'aide de l'appairage de réseaux VPC ou s'ils participent en tant que spokes VPC sur le même hub NCC, les routes de sous-réseau IPv6 peuvent fournir une connectivité aux destinations d'adresses IPv6 externes régionales des interfaces réseau de VM, aux règles de transfert d'équilibreur de charge externe régional et aux règles de transfert de protocole externe. Lorsque la connectivité à ces destinations d'adresses IPv6 externes régionales est fournie à l'aide d'une route de sous-réseau, les destinations se trouvent plutôt dans le contexte réseau non Internet.

Contexte de réseau non Internet

Le contexte réseau non-internet (NON-INTERNET) peut être utilisé dans une combinaison de sources d'une règle d'entrée ou dans une combinaison de destinations d'une règle de sortie :

• Pour une règle d'entrée, spécifiez la source de contexte non Internet et au moins un autre paramètre de source, à l'exception d'une liste de géolocalisations sécurisées ou de sources Google Threat Intelligence. Les paquets correspondent à la règle d'entrée s'ils correspondent à au moins l'un des autres paramètres sources et critères de contexte réseau non Internet pour les paquets entrants.

• Pour une règle de sortie, spécifiez la destination du contexte non Internet et au moins un autre paramètre de destination. Les paquets correspondent à la règle de sortie s'ils correspondent à au moins l'un des autres paramètres de destination et critères de contexte réseau non Internet pour les paquets de sortie.

Critères pour le contexte réseau non Internet

Cette section décrit les critères utilisés par Cloud NGFW pour déterminer si un paquet appartient au contexte réseau non Internet.

Contexte réseau non Internet pour les paquets d'entrée

Les paquets Ingress appartiennent au contexte réseau non Internet s'ils sont acheminés vers l'interface réseau d'une instance de VM ou vers une règle de transfert d'équilibreur de charge interne de l'une des manières suivantes :

• Les paquets sont acheminés à l'aide d'une route de sous-réseau, et les destinations des paquets correspondent à l'une des suivantes :
  • Adresse IPv4 ou IPv6 interne régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge interne ou d'une règle de transfert pour le transfert de protocole interne.
  • Adresse IPv6 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Les paquets sont acheminés à l'aide d'une route statique vers une instance de VM de saut suivant ou un équilibreur de charge réseau passthrough interne de saut suivant.
• Les paquets sont acheminés à l'aide d'une route basée sur des règles vers un équilibreur de charge réseau passthrough interne de prochain saut.
• Les paquets sont acheminés à l'aide de l'un des chemins de routage spéciaux suivants :
  • À partir d'un Google Front End de deuxième couche utilisé par un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique, un équilibreur de charge réseau proxy externe global ou un équilibreur de charge réseau proxy classique. Pour en savoir plus, consultez Chemins d'accès entre les Google Front End et les backends.
  • Depuis un vérificateur d'état. Pour en savoir plus, consultez la section Chemins d'accès pour les vérifications d'état.
  • Depuis Identity-Aware Proxy pour le transfert TCP. Pour en savoir plus, consultez Chemins d'accès pour Identity-Aware Proxy (IAP).
  • Depuis Cloud DNS ou l'annuaire des services. Pour en savoir plus, consultez Chemins d'accès pour Cloud DNS et l'Annuaire des services.
  • Depuis l'accès au VPC sans serveur. Pour en savoir plus, consultez Chemins d'accès pour l'accès au VPC sans serveur.
  • À partir d'un point de terminaison Private Service Connect pour les API Google mondiales. Pour en savoir plus, consultez Chemins d'accès aux points de terminaison Private Service Connect pour les API Google mondiales.

Les paquets de réponse d'Ingress provenant des API et services Google mondiaux appartiennent également au contexte réseau non Internet. Les paquets de réponse des API et services Google mondiaux peuvent provenir des sources suivantes :

• Adresse IP pour les domaines par défaut utilisés par les API et services Google globaux.
• Une adresse IP pour private.googleapis.com ou restricted.googleapis.com.
• Un point de terminaison Private Service Connect pour les API Google mondiales.

Contexte de réseau non Internet pour les paquets de sortie

Les paquets sortants envoyés à partir des interfaces réseau de VM appartiennent au contexte réseau non Internet s'ils sont acheminés de l'une des manières suivantes :

• Les paquets sont acheminés à l'aide d'une route de sous-réseau, et les destinations des paquets correspondent à l'une des suivantes :
  • Adresse IPv4 ou IPv6 interne régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge interne ou d'une règle de transfert pour le transfert de protocole interne.
  • Adresse IPv6 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Les paquets sont acheminés à l'aide de routes dynamiques.
• Les paquets sont acheminés à l'aide de routes statiques qui utilisent un prochain saut qui n'est pas la passerelle Internet par défaut.
• Les paquets sont acheminés à l'aide de routes statiques qui utilisent le saut suivant de la passerelle Internet par défaut et les destinations des paquets correspondent à l'une des options suivantes :
  • Une adresse IP pour les domaines par défaut utilisés par les API et services Google globaux.
  • Une adresse IP pour private.googleapis.com ou restricted.googleapis.com.
• Les paquets sont acheminés à l'aide d'une route basée sur des règles vers un équilibreur de charge réseau passthrough interne de prochain saut.
• Les paquets sont acheminés à l'aide de l'un des chemins de routage spéciaux suivants :
  • Chemins entre les Google Front End de deuxième couche et les backends
  • Chemins pour les vérifications de l'état
  • Chemins d'accès pour Identity-Aware Proxy (IAP)
  • Chemins d'accès pour Cloud DNS et l'annuaire des services
  • Chemins d'accès pour l'accès au VPC sans serveur
  • Chemins d'accès aux points de terminaison Private Service Connect pour les API Google mondiales

Contexte des réseaux VPC

Le contexte de réseau Réseaux VPC (VPC_NETWORKS) ne peut être utilisé que dans le cadre d'une combinaison de sources d'une règle d'entrée. Pour utiliser le contexte des réseaux VPC dans une combinaison de sources d'une règle d'entrée, procédez comme suit :

1. Vous devez spécifier une liste de réseaux VPC sources :

   • La liste des réseaux sources doit contenir au moins un réseau VPC. Vous pouvez ajouter jusqu'à 250 réseaux VPC à la liste des réseaux sources.
   • Un réseau VPC doit exister avant que vous puissiez l'ajouter à la liste des réseaux sources.
   • Vous pouvez ajouter le réseau en utilisant son identifiant d'URL partiel ou complet.
   • Les réseaux VPC que vous ajoutez à la liste des réseaux sources n'ont pas besoin d'être connectés les uns aux autres. Chaque réseau VPC peut se trouver dans n'importe quel projet.
   • Si un réseau VPC est supprimé après avoir été ajouté à la liste des réseaux sources, la référence au réseau supprimé reste dans la liste. Cloud NGFW ignore les réseaux VPC supprimés lorsqu'il applique une règle d'entrée. Si tous les réseaux VPC de la liste des réseaux sources sont supprimés, les règles d'entrée qui s'appuient sur la liste sont inefficaces, car elles ne correspondent à aucun paquet.

2. Vous devez spécifier au moins un autre paramètre de source, à l'exception d'une source de liste Google Threat Intelligence ou d'une source de géolocalisation .

Les paquets correspondent à la règle d'entrée s'ils correspondent à au moins l'un des autres paramètres sources et critères pour le contexte des réseaux VPC.

Critères pour le contexte des réseaux VPC

Cette section décrit les critères utilisés par Cloud NGFW pour déterminer si un paquet appartient au contexte des réseaux VPC.

Un paquet correspond à une règle d'entrée qui utilise le contexte des réseaux VPC dans sa combinaison source si toutes les conditions suivantes sont remplies :

• Le paquet correspond à au moins l'un des autres paramètres de source.

• Le paquet est envoyé par une ressource située dans l'un des réseaux VPC sources.

• Le réseau VPC source et le réseau VPC auquel s'applique la stratégie de pare-feu contenant la règle d'entrée sont le même réseau VPC, ou sont connectés à l'aide de l'appairage de réseaux VPC ou en tant que spokes VPC sur un hub Network Connectivity Center.

Les ressources suivantes se trouvent dans un réseau VPC :

• Interfaces réseau de VM
• Tunnels Cloud VPN
• Rattachements de VLAN Cloud Interconnect
• Appareils de routeur
• Proxies Envoy dans un sous-réseau proxy réservé
• Points de terminaison Private Service Connect
• Connecteurs d'accès au VPC sans serveur

Contexte du réseau intra-VPC

Le contexte de réseau intra-VPC (INTRA_VPC) ne peut être utilisé que dans le cadre d'une combinaison source d'une règle d'entrée. Pour utiliser le contexte des réseaux intra-VPC dans une combinaison de sources d'une règle d'entrée, vous devez spécifier au moins un autre paramètre de source, à l'exception d'une source de liste Google Threat Intelligence ou d'une source de géolocalisation.

Les paquets correspondent à la règle d'entrée s'ils correspondent à au moins l'un des autres paramètres sources et critères pour le contexte des réseaux intra-VPC.

Critères pour le contexte de réseau intra-VPC

Cette section décrit les critères utilisés par Cloud NGFW pour déterminer si un paquet appartient au contexte réseau intra-VPC.

Un paquet correspond à une règle d'entrée qui utilise le contexte intra-VPC dans sa combinaison source si toutes les conditions suivantes sont remplies :

• Le paquet correspond à au moins l'un des autres paramètres de source.

• Le paquet est envoyé par une ressource située dans le réseau VPC auquel s'applique la stratégie de pare-feu contenant la règle d'entrée.

Les ressources suivantes se trouvent dans un réseau VPC :

• Interfaces réseau de VM
• Tunnels Cloud VPN
• Rattachements de VLAN Cloud Interconnect
• Appareils de routeur
• Proxies Envoy dans un sous-réseau proxy réservé
• Points de terminaison Private Service Connect
• Connecteurs d'accès au VPC sans serveur