網路情境

網路環境可協助您更有效率地使用較少的防火牆政策規則，達成安全目標。Cloud NGFW 支援四種網路環境，可用於在階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策的規則中，建立來源組合或目的地組合。

下表說明如何在防火牆規則中使用四種網路環境。

網路情境	支援的目標類型		支援的方向、來源組合或目的地組合
	INSTANCES	INTERNAL_MANAGED_LB	輸入規則的來源組合	輸出規則的目標組合
網際網路 (INTERNET)
非網際網路 (NON_INTERNET)
虛擬私有雲網路 (VPC_NETWORKS)
虛擬私有雲內部 (INTRA_VPC)

網際網路和非網際網路環境互斥，虛擬私有雲網路和虛擬私有雲內部網路環境是「非網際網路」網路環境的子集。

網際網路網路情境

網際網路網路環境 (INTERNET) 可做為輸入規則的來源組合一部分，或輸出規則的目的地組合一部分：

• 針對輸入規則，指定網際網路環境來源和至少一個其他來源參數，安全標記來源除外。如果封包符合至少一個其他來源參數和 傳入封包的網際網路網路環境條件，就會符合傳入規則。

• 針對輸出規則，指定網際網路情境目的地和至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和 輸出封包的網際網路網路環境條件，就會符合輸出規則。

網際網路網路情境的條件

本節說明 Cloud Next Generation Firewall 用來判斷封包是否屬於網際網路網路環境的條件。

輸入封包的網際網路網路情境

由 Google Maglev 轉送至虛擬機器 (VM) 網路介面的輸入封包，屬於網際網路網路環境。當封包目的地符合下列任一條件時，封包會由 Maglev 轉送至 VM 網路介面：

• VM 網路介面的地區性外部 IPv4 位址、外部直通式網路負載平衡器的轉送規則，或外部通訊協定轉送的轉送規則。
• VM 網路介面的區域外部 IPv6 位址、外部直通式網路負載平衡器的轉送規則，或外部通訊協定轉送的轉送規則，且封包並未使用本機子網路路由或子網路路由 (由虛擬私有雲網路對等互連匯入，或來自 NCC 中樞的虛擬私有雲 Spoke) 進行路由。

如要進一步瞭解 Maglev 路由至外部直通式網路負載平衡器或外部通訊協定轉送後端 VM 的封包，請參閱「外部直通式網路負載平衡器和外部通訊協定轉送的路徑」。

輸出封包的網際網路網路情境

從 VM 網路介面傳送的大部分輸出封包，都是由靜態路徑 (下一個躍點為預設網際網路閘道) 路由，屬於網際網路網路環境。不過，如果這些輸出封包的目的地 IP 位址是全域 Google API 和服務，這些封包就屬於非網際網路網路環境。如要進一步瞭解如何連線至全球 Google API 和服務，請參閱「非網際網路的網路環境」。

如果封包是透過下一個躍點為預設網際網路閘道的靜態路由轉送，則 VM 網路介面傳送至下列目的地的任何封包，都屬於網際網路網路環境：

• Google 網路以外的外部 IP 位址目的地。
• VM 網路介面的地區外部 IPv4 位址目的地、地區外部負載平衡器的轉送規則，或外部通訊協定轉送的轉送規則。
• VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則，或外部通訊協定轉送的轉送規則。
• 全域外部負載平衡器轉送規則的全域外部 IPv4 和 IPv6 位址目的地。

VM 網路介面傳送至 Cloud VPN 和 Cloud NAT 閘道的封包屬於網際網路網路環境：

• 從執行 Cloud VPN 軟體的 VM 網路介面傳送至 Cloud VPN 閘道區域外部 IPv4 位址的輸出封包，屬於網際網路網路環境。
• 從一個 Cloud VPN 閘道傳送至另一個 Cloud VPN 閘道的輸出封包不屬於任何網路環境，因為防火牆規則不適用於 Cloud VPN 閘道。
• 如果是 Public NAT，從 VM 網路介面傳送至 Cloud NAT 閘道區域外部 IPv4 位址的回應封包，會屬於網際網路網路環境。

如果虛擬私有雲網路是透過虛擬私有雲網路對等互連功能連線，或是虛擬私有雲網路以虛擬私有雲輪輻的形式參與同一個 NCC 中樞，IPv6 子網路路徑就能提供連線，連至虛擬機器網路介面的區域外部 IPv6 位址目的地、區域外部負載平衡器轉送規則，以及外部通訊協定轉送規則。如果使用子網路路徑提供這些區域性外部 IPv6 位址目的地的連線，目的地會位於非網際網路網路環境中。

非網際網路網路情境

非網際網路網路環境 (NON-INTERNET) 可做為連入規則的來源組合一部分，或連出規則的目的地組合一部分：

• 針對輸入規則，請指定非網際網路環境來源，以及至少一個其他來源參數，但安全地理位置或來源 Google 威脅情報清單除外。如果封包符合至少一個其他來源參數和 非網際網路網路環境條件 (適用於傳入封包)，就會符合傳入規則。

• 針對輸出規則，指定非網際網路情境目的地，以及至少一個其他目的地參數。如果封包符合至少一個其他目的地參數和 非網際網路網路環境條件 (適用於輸出封包)，即符合輸出規則。

非網際網路網路環境的條件

本節說明 Cloud NGFW 用來判斷封包是否屬於非網際網路網路環境的條件。

輸入封包的非網際網路網路環境

如果傳入封包以以下任一方式，轉送至 VM 執行個體的網路介面或內部負載平衡器轉送規則，則這些封包屬於非網際網路網路環境：

• 封包會透過子網路路徑轉送，且封包目的地符合下列其中一項條件：
  • VM 網路介面的地區性內部 IPv4 或 IPv6 位址目的地、內部負載平衡器的轉送規則，或內部通訊協定轉送的轉送規則。
  • VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則，或外部通訊協定轉送的轉送規則。
• 封包會透過靜態路徑，轉送至下一個躍點 VM 執行個體或下一個躍點內部直通網路負載平衡器。
• 封包會使用以政策為準的路由，轉送至下一個躍點內部直通式網路負載平衡器。
• 封包會使用下列其中一種特殊路由路徑轉送：
  • 從全域外部應用程式負載平衡器、傳統版應用程式負載平衡器、全域外部 Proxy 網路負載平衡器或傳統版 Proxy 網路負載平衡器使用的第二層 Google Front End。詳情請參閱「Google 前端與後端之間的路徑」。
  • 來自健康狀態檢查探測器。詳情請參閱「健康狀態檢查路徑」。
  • 從 Identity-Aware Proxy 進行 TCP 轉送。詳情請參閱「Identity-Aware Proxy (IAP) 的路徑」。
  • 來自 Cloud DNS 或 Service Directory。詳情請參閱「Cloud DNS 和 Service Directory 的路徑」。
  • 從無伺服器虛擬私有雲存取。詳情請參閱無伺服器虛擬私有雲存取路徑。
  • 從全域 Google API 的 Private Service Connect 端點。詳情請參閱「全球 Google API 的 Private Service Connect 端點路徑」。

來自全域 Google API 和服務的連入回應封包，也屬於非網際網路網路環境。全球 Google API 和服務的回應封包可能來自下列任一來源：

• 全域 Google API 和服務使用的預設網域 IP 位址。
• private.googleapis.com 或 restricted.googleapis.com 的 IP 位址。
• 全球 Google API 的 Private Service Connect 端點。

輸出封包的非網際網路網路情境

如果從 VM 網路介面傳送的輸出封包是透過下列任一方式轉送，則這些封包會屬於非網際網路的網路環境：

• 封包會透過子網路路徑轉送，且封包目的地符合下列其中一項條件：
  • VM 網路介面的地區性內部 IPv4 或 IPv6 位址目的地、內部負載平衡器的轉送規則，或內部通訊協定轉送的轉送規則。
  • VM 網路介面的地區外部 IPv6 位址目的地、地區外部負載平衡器的轉送規則，或外部通訊協定轉送的轉送規則。
• 封包會使用動態路徑轉送。
• 封包會透過靜態路徑轉送，而這些路徑使用的下一個躍點不是預設網際網路閘道。
• 封包會透過使用預設網際網路閘道下一個躍點的靜態路徑轉送，且封包目的地符合下列其中一項條件：
  • 全域 Google API 和服務使用的預設網域 IP 位址。
  • private.googleapis.com 或 restricted.googleapis.com 的 IP 位址。
• 封包會使用以政策為準的路由，轉送至下一個躍點內部直通式網路負載平衡器。
• 封包會使用下列其中一種特殊路由路徑轉送：
  • 第二層 Google Front End 和後端之間的路徑
  • 健康檢查路徑
  • Identity-Aware Proxy (IAP) 的路徑
  • Cloud DNS 和 Service Directory 的路徑
  • 無伺服器 VPC 存取路徑
  • 全球 Google API 的 Private Service Connect 端點路徑

虛擬私有雲網路環境

虛擬私有雲網路網路環境 (VPC_NETWORKS) 只能做為連入規則的來源組合。如要將 VPC 網路內容做為 Ingress 規則來源組合的一部分，請執行下列操作：

1. 您必須指定來源虛擬私有雲網路清單：

   • 來源網路清單必須至少包含一個虛擬私有雲網路。 您最多可以在來源網路清單中新增 250 個虛擬私有雲網路。
   • 您必須先建立虛擬私有雲網路，才能將其新增至來源網路清單。
   • 你可以使用部分或完整網址 ID 新增電視網。
   • 您新增至來源網路清單的 VPC 網路不必相互連線。每個虛擬私有雲網路都可以位於任何專案中。
   • 如果虛擬私有雲網路新增至來源網路清單後遭到刪除，清單中仍會保留對已刪除網路的參照。Cloud NGFW 執行輸入規則時，會忽略已刪除的 VPC 網路。如果來源網路清單中的所有 VPC 網路都已刪除，依據該清單的輸入規則就會失效，因為這些規則與任何封包都不相符。

2. 您必須指定至少一個其他來源參數，但 Google 威脅情報清單來源或 地理位置來源除外。

如果封包符合至少一個其他來源參數和 VPC 網路環境的條件，就會符合輸入規則。

虛擬私有雲網路環境的條件

本節說明 Cloud NGFW 用來判斷封包是否屬於 VPC 網路環境的條件。

如果符合下列所有條件，封包就會符合在來源組合中使用 VPC 網路環境的輸入規則：

• 封包符合至少一個其他來源參數。

• 封包是由其中一個來源虛擬私有雲網路中的資源傳送。

• 來源 VPC 網路和包含輸入規則的防火牆政策所套用的 VPC 網路是同一個 VPC 網路，或是透過 VPC 網路對等互連方式連線，或是在 Network Connectivity Center 中樞上做為 VPC 輪輻。

下列資源位於虛擬私有雲網路中：

• VM 網路介面
• Cloud VPN 通道
• Cloud Interconnect VLAN 連結
• 路由器設備
• 僅限 Proxy 的子網路中的 Envoy Proxy
• Private Service Connect 端點
• 無伺服器虛擬私人雲端存取連接器

虛擬私有雲網路內文

虛擬私有雲網路內部網路環境 (INTRA_VPC) 只能做為連入規則的來源組合。如要將虛擬私有雲網路內部的環境做為 Ingress 規則來源組合的一部分，您必須指定至少一個其他來源參數，但 Google 威脅情報清單 來源或地理位置來源除外。

如果封包符合至少一個其他來源參數「和」虛擬私有雲網路內環境的條件，就會符合輸入規則。

虛擬私有雲網路內部的條件

本節說明 Cloud NGFW 用來判斷封包是否屬於虛擬私有雲網路內情境的條件。

如果符合下列所有條件，封包就會與在來源組合中使用虛擬私有雲內文的輸入規則相符：

• 封包符合至少一個其他來源參數。

• 封包是由虛擬私有雲網路中的資源傳送，而該網路適用於包含輸入規則的防火牆政策。

下列資源位於虛擬私有雲網路中：

• VM 網路介面
• Cloud VPN 通道
• Cloud Interconnect VLAN 連結
• 路由器設備
• 僅限 Proxy 的子網路中的 Envoy Proxy
• Private Service Connect 端點
• 無伺服器虛擬私有雲存取連接器