网络上下文

网络上下文可帮助您更高效地使用更少的防火墙政策规则，从而实现安全目标。Cloud NGFW 支持四种网络上下文，可用于在分层防火墙政策、全球网络防火墙政策或区域级网络防火墙政策的规则中创建来源组合或目标组合。

下表展示了如何在防火墙规则中使用这四种网络上下文。

网络上下文	支持的目标类型		支持的方向、来源组合或目的地组合
	INSTANCES	INTERNAL_MANAGED_LB	入站流量规则的来源组合	出站流量规则的目的地组合
互联网 (INTERNET)
非互联网 (NON_INTERNET)
VPC 网络 (VPC_NETWORKS)
VPC 内部 (INTRA_VPC)

互联网和非互联网网络上下文是互斥的。VPC 网络和 VPC 内网络上下文为非互联网网络上下文的子集。

互联网网络上下文

互联网网络上下文 (INTERNET) 可用作入站流量规则的来源组合或出站流量规则的目的地组合的一部分：

• 对于入站流量规则，请指定互联网上下文来源和至少一个其他来源参数（安全标记来源除外）。如果数据包与至少一个其他来源参数匹配且入站数据包的互联网网络上下文条件匹配，则与入站流量规则匹配。

• 对于出站流量规则，请指定互联网上下文目标位置和至少一个其他目标位置参数。如果数据包与至少一个其他目标参数匹配，且出站数据包的互联网网络情境条件匹配，则与出站流量规则匹配。

互联网网络上下文的条件

本部分介绍了 Cloud 新一代防火墙用于确定数据包是否属于互联网网络上下文的标准。

入站数据包的互联网网络上下文

由 Google Maglev 路由到虚拟机 (VM) 网络接口的入站数据包属于互联网网络上下文。当数据包目的地与以下任一地址匹配时，数据包会由 Maglev 路由到虚拟机网络接口：

• 虚拟机网络接口的区域外部 IPv4 地址、外部直通式网络负载均衡器的转发规则或外部协议转发的转发规则。
• 虚拟机网络接口的区域外部 IPv6 地址、外部直通式网络负载平衡器的转发规则或外部协议转发的转发规则，且数据包未使用本地子网路由或通过 VPC 网络对等互连或从 NCC Hub 上的 VPC Spoke 导入的子网路由进行路由。

如需详细了解 Maglev 为外部直通式网络负载平衡器或外部协议转发路由到后端虚拟机的数据包，请参阅外部直通式网络负载平衡器和外部协议转发的路径。

出站数据包的互联网网络上下文

从虚拟机网络接口发送的大多数出站数据包通过下一个跃点为默认互联网网关的静态路由进行路由，属于互联网网络上下文。不过，如果这些出站数据包的目标 IP 地址是全球 Google API 和服务的 IP 地址，则这些数据包属于非互联网网络上下文。如需详细了解与全球 Google API 和服务的连接性，请参阅非互联网网络上下文。

当使用下一个跃点为默认互联网网关的静态路由来路由数据包时，虚拟机网络接口发送到以下目标位置的任何数据包都属于互联网网络上下文：

• Google 网络之外的外部 IP 地址目的地。
• 虚拟机网络接口的区域外部 IPv4 地址目的地、区域外部负载均衡器的转发规则或外部协议转发的转发规则。
• 虚拟机网络接口的区域性外部 IPv6 地址目标、区域性外部负载均衡器的转发规则或外部协议转发的转发规则。
• 全球外部负载均衡器转发规则的全球外部 IPv4 和 IPv6 地址目标。

由虚拟机网络接口发送到 Cloud VPN 和 Cloud NAT 网关的数据包属于互联网网络上下文：

• 从运行 Cloud VPN 软件的虚拟机的网络接口发送到 Cloud VPN 网关的区域级外部 IPv4 地址的出站数据包属于互联网网络上下文。
• 从一个 Cloud VPN 网关发送到另一个 Cloud VPN 网关的出站数据包不属于任何网络上下文，因为防火墙规则不适用于 Cloud VPN 网关。
• 对于 Public NAT，从虚拟机网络接口发送到 Cloud NAT 网关的区域级外部 IPv4 地址的响应数据包属于互联网网络上下文。

如果 VPC 网络通过 VPC 网络对等互连进行连接，或者 VPC 网络作为 VPC Spoke 参与到同一 NCC Hub 中，则 IPv6 子网路由可以为以下对象提供连接：虚拟机网络接口的区域外部 IPv6 地址、区域外部负载均衡器转发规则和外部协议转发规则。如果使用子网路由提供到这些区域外部 IPv6 地址目标的连接性，则这些目标将位于非互联网网络上下文中。

非互联网网络上下文

非互联网网络上下文 (NON-INTERNET) 可用作入站流量规则的来源组合或出站流量规则的目的地组合的一部分：

• 对于入站流量规则，请指定非互联网上下文来源和至少一个其他来源参数（安全地理定位或来源 Google 威胁情报列表除外）。如果数据包与至少一个其他来源参数匹配且满足入站数据包的非互联网网络上下文条件，则与入站流量规则匹配。

• 对于出站流量规则，请指定非互联网上下文目标位置和至少一个其他目标位置参数。如果数据包与至少一个其他目标参数和出站流量数据包的非互联网网络上下文条件匹配，则与出站流量规则匹配。

非互联网网络上下文的条件

本部分介绍了 Cloud NGFW 用于确定数据包是否属于非互联网网络上下文的标准。

入站数据包的非互联网网络上下文

如果入站数据包以以下方式之一路由到虚拟机实例的网络接口或内部负载均衡器转发规则，则这些数据包属于非互联网网络上下文：

• 数据包通过子网路由进行路由，并且数据包目的地与以下项之一匹配：
  • 虚拟机网络接口的区域内部 IPv4 或 IPv6 地址目的地、内部负载均衡器的转发规则或内部协议转发的转发规则。
  • 虚拟机网络接口的区域性外部 IPv6 地址目标、区域性外部负载均衡器的转发规则或外部协议转发的转发规则。
• 数据包通过静态路由路由到下一个跃点虚拟机实例或下一个跃点内部直通式网络负载平衡器。
• 数据包通过基于政策的路由路由到下一个跃点内部直通式网络负载平衡器。
• 数据包通过以下特殊路由路径之一进行路由：
  • 来自全球外部应用负载平衡器、传统应用负载平衡器、全球外部代理网络负载平衡器或传统代理网络负载平衡器使用的第二层 Google Front End。如需了解详情，请参阅 Google Front End 前端和后端之间的路径。
  • 来自健康检查探测器。如需了解详情，请参阅健康检查的路径。
  • 来自 Identity-Aware Proxy for TCP 转发。如需了解详情，请参阅 Identity-Aware Proxy (IAP) 的路径。
  • 来自 Cloud DNS 或 Service Directory。如需了解详情，请参阅 Cloud DNS 和 Service Directory 的路径。
  • 来自无服务器 VPC 访问通道。如需了解详情，请参阅无服务器 VPC 访问通道的路径。
  • 通过全球 Google API 的 Private Service Connect 端点。如需了解详情，请参阅适用于全球 Google API 的 Private Service Connect 端点的路径。

来自全球 Google API 和服务的入站响应数据包也属于非互联网网络上下文。来自全球 Google API 和服务的响应数据包可以具有以下任何来源：

• 全球 Google API 和服务使用的默认网域的 IP 地址。
• private.googleapis.com 或 restricted.googleapis.com 的 IP 地址。
• 适用于全球 Google API 的 Private Service Connect 端点。

出站数据包的非互联网网络上下文

如果出站数据包以以下方式之一进行路由，则从虚拟机网络接口发送的出站数据包属于非互联网网络上下文：

• 数据包通过子网路由进行路由，并且数据包目的地与以下项之一匹配：
  • 虚拟机网络接口的区域内部 IPv4 或 IPv6 地址目的地、内部负载均衡器的转发规则或内部协议转发的转发规则。
  • 虚拟机网络接口的区域性外部 IPv6 地址目标、区域性外部负载均衡器的转发规则或外部协议转发的转发规则。
• 数据包通过动态路由进行路由。
• 数据包通过使用静态路由进行路由，该静态路由使用的下一个跃点不是默认互联网网关。
• 数据包通过使用默认互联网网关的下一个跃点的静态路由进行路由，并且数据包目的地与以下任一目的地相匹配：
  • 全球 Google API 和服务使用的默认网域的 IP 地址。
  • private.googleapis.com 或 restricted.googleapis.com 的 IP 地址。
• 数据包通过基于政策的路由路由到下一个跃点内部直通式网络负载平衡器。
• 数据包通过以下特殊路由路径之一进行路由：
  • 第二层 Google Front End 前端和后端之间的路径
  • 健康检查的路径
  • Identity-Aware Proxy (IAP) 的路径
  • Cloud DNS 和 Service Directory 的路径
  • 无服务器 VPC 访问通道的路径
  • 适用于全球 Google API 的 Private Service Connect 端点的路径

VPC 网络上下文

VPC 网络网络上下文 (VPC_NETWORKS) 只能用作入站流量规则的来源组合的一部分。如需将 VPC 网络上下文用作入口规则的来源组合的一部分，请执行以下操作：

1. 您必须指定来源 VPC 网络列表：

   • 源网络列表必须包含至少一个 VPC 网络。 您最多可以向来源网络列表添加 250 个 VPC 网络。
   • 您必须先创建 VPC 网络，然后才能将其添加到源网络列表中。
   • 您可以使用网络的部分或完整网址标识符来添加网络。
   • 添加到来源网络列表中的 VPC 网络无需相互连接。每个 VPC 网络都可以位于任何项目中。
   • 如果某个 VPC 网络在添加到源网络列表后被删除，则对已删除网络的引用仍会保留在列表中。在强制执行入站流量规则时，Cloud NGFW 会忽略已删除的 VPC 网络。如果源网络列表中的所有 VPC 网络都已删除，则依赖于该列表的入站流量规则将无效，因为它们与任何数据包都不匹配。

2. 您必须至少指定一个其他来源参数，但 Google 威胁情报列表来源或 地理定位来源除外。

如果数据包与至少一个其他来源参数匹配且满足 VPC 网络上下文的条件，则与入站流量规则匹配。

VPC 网络上下文的条件

本部分介绍了 Cloud NGFW 用于确定数据包是否属于 VPC 网络上下文的标准。

如果满足以下所有条件，数据包就会与在其来源组合中使用 VPC 网络上下文的入口规则匹配：

• 数据包与至少一个其他来源参数匹配。

• 数据包由位于某个源 VPC 网络中的资源发送。

• 来源 VPC 网络与包含入站流量规则的防火墙政策所适用的 VPC 网络是同一 VPC 网络，或者通过 VPC 网络对等互连或作为 Network Connectivity Center hub 上的 VPC Spoke 进行连接。

以下资源位于 VPC 网络中：

• 虚拟机网络接口
• Cloud VPN 隧道
• Cloud Interconnect VLAN 连接
• 路由器设备
• 代理专用子网中的 Envoy 代理
• Private Service Connect 端点
• 无服务器 VPC 访问通道连接器

VPC 内网络上下文

VPC 内部网络上下文 (INTRA_VPC) 只能用作入站流量规则来源组合的一部分。如需将 VPC 内部网络上下文用作入站流量规则的来源组合一部分，您必须至少指定一个其他来源参数，但 Google Threat Intelligence 列表来源或 地理定位来源除外。

如果数据包与至少一个其他来源参数匹配且满足 VPC 内部网络上下文的条件，则与入站流量规则匹配。

VPC 网络内部上下文的条件

本部分介绍了 Cloud NGFW 用于确定数据包是否属于 VPC 内网络上下文的标准。

如果满足以下所有条件，数据包就会与在其来源组合中使用 VPC 内部上下文的入站流量规则匹配：

• 数据包与至少一个其他来源参数匹配。

• 数据包由位于 VPC 网络中且包含入站流量规则的防火墙政策应用到的资源发送。

以下资源位于 VPC 网络中：

• 虚拟机网络接口
• Cloud VPN 隧道
• Cloud Interconnect VLAN 连接
• 路由器设备
• 代理专用子网中的 Envoy 代理
• Private Service Connect 端点
• 无服务器 VPC 访问通道连接器