네트워크 컨텍스트

네트워크 컨텍스트는 더 적은 수의 방화벽 정책 규칙을 더 효율적으로 사용하여 보안 목적을 달성하는 데 도움이 됩니다. Cloud NGFW는 계층적 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책의 규칙에 소스 조합 또는 대상 조합을 만드는 데 사용할 수 있는 4가지 네트워크 컨텍스트를 지원합니다.

다음 표에서는 방화벽 규칙에서 네 가지 네트워크 컨텍스트를 사용할 수 있는 방법을 보여줍니다.

네트워크 컨텍스트	지원되는 타겟 유형		지원되는 방향, 소스 조합 또는 대상 조합
	INSTANCES	INTERNAL_MANAGED_LB	인그레스 규칙의 소스 조합	이그레스 규칙의 대상 조합
인터넷(INTERNET)
비인터넷(NON_INTERNET)
VPC 네트워크(VPC_NETWORKS개)
VPC 내(INTRA_VPC)

인터넷 및 비인터넷 네트워크 컨텍스트는 상호 배타적입니다. VPC 네트워크 및 VPC 내 네트워크 컨텍스트는 비인터넷 네트워크 컨텍스트의 하위 집합입니다.

인터넷 네트워크 컨텍스트

인터넷 네트워크 컨텍스트 (INTERNET)는 인그레스 규칙의 소스 조합 중 일부 또는 이그레스 규칙의 대상 조합 중 일부로 사용할 수 있습니다.

• 인그레스 규칙의 경우 보안 태그 소스를 제외하고 인터넷 컨텍스트 소스와 하나 이상의 기타 소스 파라미터를 지정합니다. 패킷이 하나 이상의 기타 소스 파라미터와 일치하고 그리고 인그레스 패킷의 인터넷 네트워크 컨텍스트 기준과 일치하는 경우 패킷이 인그레스 규칙과 일치합니다.

• 이그레스 규칙의 경우 인터넷 컨텍스트 대상과 하나 이상의 기타 대상 파라미터를 지정합니다. 패킷이 하나 이상의 기타 대상 파라미터와 일치하고 그리고 이그레스 패킷의 인터넷 네트워크 컨텍스트 기준과 일치할 경우 패킷이 이그레스 규칙과 일치합니다.

인터넷 네트워크 컨텍스트 기준

이 섹션에서는 패킷이 인터넷 네트워크 컨텍스트에 속하는지 여부를 확인하기 위해 Cloud Next Generation Firewall에 사용되는 기준을 설명합니다.

인그레스 패킷의 인터넷 네트워크 컨텍스트

Google Maglev에 의해 가상 머신 (VM) 네트워크 인터페이스로 라우팅된 인그레스 패킷은 인터넷 네트워크 컨텍스트에 속합니다. 패킷은 패킷 대상이 다음 중 하나와 일치하는 경우 Maglev에 의해 VM 네트워크 인터페이스로 라우팅됩니다.

• VM 네트워크 인터페이스의 리전 외부 IPv4 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙 또는 외부 프로토콜 전달을 위한 전달 규칙
• VM 네트워크 인터페이스의 리전 외부 IPv6 주소, 외부 패스 스루 네트워크 부하 분산기의 전달 규칙 또는 외부 프로토콜 전달을 위한 전달 규칙이고 패킷이 로컬 서브넷 경로 또는 VPC 네트워크 피어링에 의해 가져온 서브넷 경로 또는 NCC 허브의 VPC 스포크에서 가져온 서브넷 경로를 사용하여 라우팅되지 않은 경우

외부 패스 스루 네트워크 부하 분산기 또는 외부 프로토콜 전달을 위해 Maglev에서 백엔드 VM으로 라우팅되는 패킷에 대한 자세한 내용은 외부 패스 스루 네트워크 부하 분산기 및 외부 프로토콜 전달을 위한 경로를 참고하세요.

이그레스 패킷의 인터넷 네트워크 컨텍스트

VM 네트워크 인터페이스에서 전송되고 다음 홉이 기본 인터넷 게이트웨이인 정적 경로로 라우팅되는 대부분의 이그레스 패킷은 인터넷 네트워크 컨텍스트에 속합니다. 하지만 이러한 이그레스 패킷의 대상 IP 주소가 전역 Google API 및 서비스용이면 패킷이 비인터넷 네트워크 컨텍스트에 속합니다. 전역 Google API 및 서비스 연결에 대한 자세한 내용은 비인터넷 네트워크 컨텍스트를 참고하세요.

다음 홉이 기본 인터넷 게이트웨이인 정적 경로를 사용하여 패킷이 라우팅될 경우에는 VM 네트워크 인터페이스에 의해 다음 대상으로 전송되는 모든 패킷이 인터넷 네트워크 컨텍스트에 속합니다.

• Google 네트워크 외부에 있는 외부 IP 주소 대상
• VM 네트워크 인터페이스의 리전 외부 IPv4 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• 전역 외부 부하 분산기의 전달 규칙에 대한 전역 외부 IPv4 및 IPv6 주소 대상

VM 네트워크 인터페이스에서 Cloud VPN 및 Cloud NAT 게이트웨이로 전송된 패킷은 인터넷 네트워크 컨텍스트에 속합니다.

• Cloud VPN 소프트웨어를 실행하는 VM의 네트워크 인터페이스에서 Cloud VPN 게이트웨이의 리전 외부 IPv4 주소로 전송된 이그레스 패킷은 인터넷 네트워크 컨텍스트에 속합니다.
• 하나의 Cloud VPN 게이트웨이에서 다른 Cloud VPN 게이트웨이로 전송된 이그레스 패킷은 방화벽 규칙이 Cloud VPN 게이트웨이에 적용되지 않기 때문에 네트워크 컨텍스트에 속하지 않습니다.
• Public NAT의 경우 VM 네트워크 인터페이스에서 Cloud NAT 게이트웨이의 리전 외부 IPv4 주소로 전송된 응답 패킷은 인터넷 네트워크 컨텍스트에 속합니다.

VPC 네트워크가 VPC 네트워크 피어링을 사용하여 연결되거나 VPC 네트워크가 동일한 NCC 허브에서 VPC 스포크로 참여하는 경우 IPv6 서브넷 경로를 통해 VM 네트워크 인터페이스의 리전 외부 IPv6 주소, 리전 외부 부하 분산기 전달 규칙, 외부 프로토콜 전달 규칙에 연결할 수 있습니다. 이러한 리전 외부 IPv6 주소 대상에 대한 연결이 서브넷 경로를 사용하여 제공된 경우 대상은 대신 비인터넷 네트워크 컨텍스트에 있습니다.

비인터넷 네트워크 컨텍스트

비인터넷 네트워크 컨텍스트 (NON-INTERNET)는 인그레스 규칙의 소스 조합 중 일부 또는 이그레스 규칙의 대상 조합 중 일부로 사용할 수 있습니다.

• 인그레스 규칙의 경우 보안 위치정보 또는 소스 Google Threat Intelligence 목록을 제외하고 비인터넷 컨텍스트 소스와 하나 이상의 기타 소스 파라미터를 지정합니다. 패킷이 하나 이상의 기타 소스 파라미터와 그리고 인그레스 패킷의 비인터넷 네트워크 컨텍스트 기준과 일치하는 경우 패킷이 인그레스 규칙과 일치합니다.

• 이그레스 규칙의 경우 비인터넷 컨텍스트 대상과 하나 이상의 기타 대상 파라미터를 지정합니다. 패킷이 하나 이상의 기타 대상 파라미터와 일치하고 그리고 이그레스 패킷의 비인터넷 네트워크 컨텍스트 기준과 일치할 경우 패킷이 이그레스 규칙과 일치합니다.

비인터넷 네트워크 컨텍스트 기준

이 섹션에서는 패킷이 비인터넷 네트워크 컨텍스트에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 기준을 설명합니다.

인그레스 패킷의 비인터넷 네트워크 컨텍스트

패킷이 다음 방법 중 하나로 VM 인스턴스의 네트워크 인터페이스 또는 내부 부하 분산기 전달 규칙으로 라우팅되는 경우 인그레스 패킷은 비인터넷 네트워크 컨텍스트에 속합니다.

• 패킷은 서브넷 경로를 사용하여 라우팅되며 패킷 대상은 다음 중 하나와 일치합니다.
  • VM 네트워크 인터페이스의 리전 내부 IPv4 또는 IPv6 주소 대상, 내부 부하 분산기의 전달 규칙 또는 내부 프로토콜 전달을 위한 전달 규칙
  • VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• 패킷은 정적 경로를 사용하여 다음 홉 VM 인스턴스 또는 다음 홉 내부 패스 스루 네트워크 부하 분산기로 라우팅됩니다.
• 패킷은 정책 기반 경로를 사용하여 다음 홉 내부 패스 스루 네트워크 부하 분산기로 라우팅됩니다.
• 패킷은 다음 특수 라우팅 경로 중 하나를 사용하여 라우팅됩니다.
  • 전역 외부 애플리케이션 부하 분산기, 기본 애플리케이션 부하 분산기, 전역 외부 프록시 네트워크 부하 분산기 또는 기본 프록시 네트워크 부하 분산기에서 사용되는 두 번째 레이어 Google 프런트엔드 자세한 내용은 Google 프런트엔드와 백엔드 사이의 경로를 참조하세요.
  • 상태 점검 프로버에서 자세한 내용은 상태 점검 경로를 참조하세요.
  • TCP 전달을 위한 IAP(Identity-Aware Proxy)에서 가져옵니다. 자세한 내용은 IAP(Identity-Aware Proxy) 경로를 참조하세요.
  • Cloud DNS 또는 서비스 디렉터리에서 가져옵니다. 자세한 내용은 Cloud DNS 및 서비스 디렉터리의 경로를 참조하세요.
  • 서버리스 VPC 액세스에서 자세한 내용은 서버리스 VPC 액세스 경로를 참조하세요.
  • 전역 Google API의 Private Service Connect 엔드포인트에서 자세한 내용은 전역 Google API를 위한 Private Service Connect 엔드포인트 경로를 참조하세요.

전역 Google API 및 서비스의 인그레스 응답 패킷도 비인터넷 네트워크 컨텍스트에 속합니다. 전역 Google API 및 서비스의 응답 패킷에는 다음 소스가 있을 수 있습니다.

• 전역 Google API 및 서비스에 사용된 기본 도메인의 IP 주소
• private.googleapis.com 또는 restricted.googleapis.com의 IP 주소
• 전역 Google API용 Private Service Connect 엔드포인트

이그레스 패킷의 비인터넷 네트워크 컨텍스트

VM 네트워크 인터페이스에서 전송된 이그레스 패킷은 패킷이 다음 중 한 가지 방법으로 라우팅되는 경우 비인터넷 네트워크 컨텍스트에 속합니다.

• 패킷은 서브넷 경로를 사용하여 라우팅되며 패킷 대상은 다음 중 하나와 일치합니다.
  • VM 네트워크 인터페이스의 리전 내부 IPv4 또는 IPv6 주소 대상, 내부 부하 분산기의 전달 규칙 또는 내부 프로토콜 전달을 위한 전달 규칙
  • VM 네트워크 인터페이스의 리전 외부 IPv6 주소 대상, 리전 외부 부하 분산기의 전달 규칙, 외부 프로토콜 전달을 위한 전달 규칙
• 패킷은 동적 경로를 사용하여 라우팅됩니다.
• 패킷은 기본 인터넷 게이트웨이가 아닌 다음 홉을 사용하는 정적 경로를 사용하여 라우팅됩니다.
• 패킷은 기본 인터넷 게이트웨이 다음 홉을 사용하는 정적 경로를 사용하여 라우팅되며 다음 패킷 대상이 다음 중 하나와 일치합니다.
  • 전역 Google API 및 서비스에 사용된 기본 도메인의 IP 주소
  • private.googleapis.com 또는 restricted.googleapis.com의 IP 주소
• 패킷은 정책 기반 경로를 사용하여 다음 홉 내부 패스 스루 네트워크 부하 분산기로 라우팅됩니다.
• 패킷은 다음 특수 라우팅 경로 중 하나를 사용하여 라우팅됩니다.
  • 2계층 Google 프런트엔드와 백엔드 사이의 경로
  • 상태 점검 경로
  • IAP(Identity-Aware Proxy) 경로
  • Cloud DNS 및 서비스 디렉터리 경로
  • 서버리스 VPC 액세스 경로
  • 전역 Google API의 Private Service Connect 엔드포인트 경로

VPC 네트워크 컨텍스트

VPC 네트워크 네트워크 컨텍스트 (VPC_NETWORKS)는 인그레스 규칙의 소스 조합의 일부로만 사용할 수 있습니다. VPC 네트워크 컨텍스트를 인그레스 규칙의 소스 조합의 일부로 사용하려면 다음을 수행합니다.

1. 소스 VPC 네트워크의 목록을 지정해야 합니다.

   • 소스 네트워크 목록에는 하나 이상의 VPC 네트워크가 포함되어야 합니다. 소스 네트워크 목록에는 최대 250개의 VPC 네트워크를 추가할 수 있습니다.
   • VPC 네트워크를 소스 네트워크 목록에 추가할 수 있으려면 VPC 네트워크가 이미 있어야 합니다.
   • 부분 또는 전체 URL 식별자를 사용하여 네트워크를 추가할 수 있습니다.
   • 소스 네트워크 목록에 추가하는 VPC 네트워크는 서로 연결되어 있을 필요가 없습니다. 각 VPC 네트워크는 모든 프로젝트에 배치할 수 있습니다.
   • 소스 네트워크 목록에 추가한 후 VPC 네트워크를 삭제하면 삭제된 네트워크에 대한 참조가 목록에 유지됩니다. Cloud NGFW는 인그레스 규칙을 적용할 때 삭제된 VPC 네트워크를 무시합니다. 소스 네트워크 목록의 모든 VPC 네트워크가 삭제된 경우에 이 목록을 사용하는 인그레스 규칙은 패킷과 일치하지 않기 때문에 효과가 없습니다.

2. Google 위협 인텔리전스 목록 소스 또는 위치정보 소스를 제외하고 하나 이상의 기타 소스 파라미터를 지정해야 합니다.

패킷이 하나 이상의 기타 소스 파라미터와 그리고 VPC 네트워크 컨텍스트 기준과 일치하는 경우 패킷이 인그레스 규칙과 일치합니다.

VPC 네트워크 컨텍스트 기준

이 섹션에서는 패킷이 VPC 네트워크 컨텍스트에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 기준을 설명합니다.

다음 모든 조건을 만족하는 경우 패킷은 소스 조합에서 VPC 네트워크 컨텍스트를 사용하는 인그레스 규칙과 일치합니다.

• 패킷이 하나 이상의 기타 소스 파라미터와 일치합니다.

• 패킷이 소스 VPC 네트워크 중 하나에 있는 리소스에서 전송됩니다.

• 소스 VPC 네트워크 그리고 인그레스 규칙을 포함하는 방화벽 정책이 적용되는 VPC 네트워크는 동일한 VPC 네트워크이거나 VPC 네트워크 피어링을 사용하여 또는 Network Connectivity Center 허브에서 VPC 스포크로 연결되어 있습니다.

다음 리소스는 VPC 네트워크에 있습니다.

• VM 네트워크 인터페이스
• Cloud VPN 터널
• Cloud Interconnect VLAN 연결
• 라우터 어플라이언스
• 프록시 전용 서브넷의 Envoy 프록시
• Private Service Connect 엔드포인트
• 서버리스 VPC 액세스 연결

VPC 내 네트워크 컨텍스트

VPC 내 네트워크 네트워크 컨텍스트 (INTRA_VPC)는 인그레스 규칙의 소스 조합의 일부로만 사용할 수 있습니다. VPC 내 네트워크 컨텍스트를 인그레스 규칙의 소스 조합 일부로 사용하려면 Google 위협 인텔리전스 목록 소스 또는 위치정보 소스를 제외하고 하나 이상의 기타 소스 파라미터를 지정해야 합니다.

패킷이 하나 이상의 기타 소스 파라미터와 그리고 VPC 내 네트워크 컨텍스트 기준과 일치하는 경우 패킷이 인그레스 규칙과 일치합니다.

VPC 내 네트워크 컨텍스트 기준

이 섹션에서는 패킷이 VPC 내 네트워크 컨텍스트에 속하는지 여부를 확인하기 위해 Cloud NGFW에 사용되는 기준을 설명합니다.

다음 모든 조건을 만족하는 경우 패킷은 소스 조합에 VPC 내 컨텍스트가 포함된 인그레스 규칙과 일치합니다.

• 패킷이 하나 이상의 기타 소스 파라미터와 일치합니다.

• 패킷이 인그레스 규칙이 포함된 방화벽 정책이 적용되는 VPC 네트워크에 잇는 리소스에서 전송됩니다.

다음 리소스는 VPC 네트워크에 있습니다.

• VM 네트워크 인터페이스
• Cloud VPN 터널
• Cloud Interconnect VLAN 연결
• 라우터 어플라이언스
• 프록시 전용 서브넷의 Envoy 프록시
• Private Service Connect 엔드포인트
• 서버리스 VPC 액세스 연결