ネットワーク タイプについて

以降のセクションでは、Cloud Next Generation Firewall がネットワーク タイプを使用してトラフィックを分類する方法について説明します。詳細については、ネットワーク タイプをご覧ください。

インターネット ネットワークの種類の条件

このセクションでは、Cloud Next Generation Firewall がパケットがインターネット ネットワーク タイプに属するかどうかを判断するために使用する条件について説明します。

上り（内向き）パケットのインターネット ネットワーク タイプ

Google Maglev によって仮想マシン（VM）ネットワーク インターフェースに転送される上り（内向き）パケットは、インターネット ネットワーク タイプに属します。パケットの宛先が次のいずれかと一致する場合、パケットは Maglev によって VM ネットワーク インターフェースにルーティングされます。

• VM ネットワーク インターフェースのリージョン外部 IPv4 アドレス、外部パススルー ネットワーク ロードバランサの転送ルール、または外部プロトコル転送の転送ルール。
• VM ネットワーク インターフェース、外部パススルー ネットワーク ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレス。また、パケットがローカル サブネット ルート、VPC ネットワーク ピアリングによってインポートされたサブネット ルート、または NCC ハブの VPC スポークからインポートされたサブネット ルートを使用してルーティングされていない場合。

外部パススルー ネットワーク ロードバランサまたは外部プロトコル転送のバックエンド VM に Maglev によってルーティングされるパケットの詳細については、外部パススルー ネットワーク ロードバランサと外部プロトコル転送のパスをご覧ください。

下り（外向き）パケットのインターネット ネットワーク タイプ

VM ネットワーク インターフェースから送信され、ネクストホップがデフォルトのインターネット ゲートウェイである静的ルートによってルーティングされるほとんどの下り（外向き）パケットは、インターネット ネットワーク タイプに属します。ただし、これらの下り（外向き）パケットの宛先 IP アドレスがグローバル Google API とサービスの場合、これらのパケットは非インターネット ネットワーク タイプに属します。グローバル Google API とサービスへの接続の詳細については、インターネット以外のネットワーク タイプをご覧ください。

ネクストホップがデフォルトのインターネット ゲートウェイである静的ルートを使用してパケットがルーティングされる場合、VM ネットワーク インターフェースから次の宛先に送信されるパケットは、インターネット ネットワーク タイプに属します。

• Google ネットワーク外の外部 IP アドレスの宛先。
• VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv4 アドレスの宛先。
• VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレスの宛先。
• グローバル外部ロードバランサの転送ルールのグローバル外部 IPv4 アドレスと IPv6 アドレスの宛先。

VM ネットワーク インターフェースから Cloud VPN ゲートウェイと Cloud NAT ゲートウェイに送信されたパケットは、インターネット ネットワーク タイプに属します。

• Cloud VPN ソフトウェアを実行している VM のネットワーク インターフェースから Cloud VPN ゲートウェイのリージョン外部 IPv4 アドレスに送信される下り（外向き）パケットは、インターネット ネットワーク タイプに属します。
• ある Cloud VPN ゲートウェイから別の Cloud VPN ゲートウェイに送信される下り（外向き）パケットは、ファイアウォール ルールが Cloud VPN ゲートウェイに適用されないため、どのネットワーク タイプにも属しません。
• Public NAT の場合、VM ネットワーク インターフェースから Cloud NAT ゲートウェイのリージョン外部 IPv4 アドレスに送信されるレスポンス パケットは、インターネット ネットワーク タイプに属します。

VPC ネットワークが VPC ネットワーク ピアリングを使用して接続されている場合、または VPC ネットワークが同じ NCC ハブの VPC スポークとして参加している場合、IPv6 サブネット ルートは、VM ネットワーク インターフェースのリージョン外部 IPv6 アドレスの宛先、リージョン外部ロードバランサの転送ルール、外部プロトコル転送ルールへの接続を提供できます。これらのリージョン外部 IPv6 アドレス宛先への接続がサブネット ルートを使用して提供される場合、宛先はインターネット以外のネットワーク タイプになります。

インターネット以外のネットワーク タイプの条件

このセクションでは、パケットが非インターネット ネットワーク タイプに属するかどうかを Cloud NGFW が判断するために使用する条件について説明します。

上り（内向き）パケットの非インターネット ネットワーク タイプ

パケットが次のいずれかの方法で VM インスタンスのネットワーク インターフェースまたは内部ロードバランサの転送ルールにルーティングされる場合、上り（内向き）パケットは非インターネット ネットワーク タイプに属します。

• パケットはサブネット ルートを使用して転送され、パケットの宛先は次のいずれかと一致します。
  • VM ネットワーク インターフェース、内部ロードバランサの転送ルール、または内部プロトコル転送の転送ルールのリージョン内部 IPv4 または IPv6 アドレスの宛先。
  • VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレスの宛先。
• パケットは、静的ルートを使用して、ネクストホップ VM インスタンスまたはネクストホップ内部パススルー ネットワーク ロードバランサに転送されます。
• パケットは、ポリシーベースのルートを使用して、ネクストホップの内部パススルー ネットワーク ロードバランサに転送されます。
• パケットは、次のいずれかの特別なルーティング パスを使用して転送されます。
  • グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、または従来のプロキシ ネットワーク ロードバランサで使用される 2 番目のレイヤの Google Front End から。詳細については、Google Front End とバックエンド間のパスをご覧ください。
  • ヘルスチェック プローバーから。詳細については、ヘルスチェックのパスをご覧ください。
  • TCP 転送用の Identity-Aware Proxy から。詳細については、Identity-Aware Proxy（IAP）のパスをご覧ください。
  • Cloud DNS または Service Directory から。詳細については、Cloud DNS と Service Directory のパスをご覧ください。
  • サーバーレス VPC アクセスから。詳細については、サーバーレス VPC アクセスのパスをご覧ください。
  • グローバル Google API の Private Service Connect エンドポイントから。詳細については、グローバル Google API の Private Service Connect エンドポイントのパスをご覧ください。

グローバル Google API とサービスからの上り（内向き）レスポンス パケットも、非インターネット ネットワーク タイプに属します。グローバル Google API とサービスからのレスポンス パケットには、次のいずれかの送信元があります。

• グローバル Google API とサービスで使用されるデフォルト ドメインの IP アドレス。
• private.googleapis.com または restricted.googleapis.com の IP アドレス。
• グローバル Google API 用の Private Service Connect エンドポイント。

下り（外向き）パケットの非インターネット ネットワーク タイプ

VM ネットワーク インターフェースから送信された下り（外向き）パケットは、次のいずれかの方法でルーティングされる場合、非インターネット ネットワーク タイプに属します。

• パケットはサブネット ルートを使用して転送され、パケットの宛先は次のいずれかと一致します。
  • VM ネットワーク インターフェース、内部ロードバランサの転送ルール、または内部プロトコル転送の転送ルールのリージョン内部 IPv4 または IPv6 アドレスの宛先。
  • VM ネットワーク インターフェース、リージョン外部ロードバランサの転送ルール、または外部プロトコル転送の転送ルールのリージョン外部 IPv6 アドレスの宛先。
• パケットは動的ルートを使用してルーティングされます。
• パケットは、デフォルト インターネット ゲートウェイではないネクストホップを使用する静的ルートを使用して転送されます。
• パケットは、デフォルトのインターネット ゲートウェイのネクストホップを使用する静的ルートを使用して転送され、パケットの宛先は次のいずれかに一致します。
  • グローバル Google API とサービスで使用されるデフォルト ドメインの IP アドレス。
  • private.googleapis.com または restricted.googleapis.com の IP アドレス。
• パケットは、ポリシーベースのルートを使用して、ネクストホップの内部パススルー ネットワーク ロードバランサに転送されます。
• パケットは、次のいずれかの特別なルーティング パスを使用して転送されます。
  • 第 2 レイヤの Google Front End とバックエンド間のパス
  • ヘルスチェックのパス
  • Identity-Aware Proxy（IAP）のパス
  • Cloud DNS と Service Directory のパス
  • サーバーレス VPC アクセスのパス
  • グローバル Google API の Private Service Connect エンドポイントのパス

VPC ネットワークの種類の条件

このセクションでは、パケットが VPC ネットワーク タイプに属するかどうかを Cloud NGFW が判断するために使用する条件について説明します。

次の条件がすべて満たされている場合、パケットは送信元組み合わせで VPC ネットワーク タイプを使用する上り（内向き）ルールに一致します。

• パケットが他のソース パラメータの少なくとも 1 つに一致する。

• パケットは、送信元 VPC ネットワークのいずれかに存在するリソースによって送信されます。

• 送信元 VPC ネットワークと、上り（内向き）ルールを含むファイアウォール ポリシーが適用される VPC ネットワークは、同じ VPC ネットワークであるか、VPC ネットワーク ピアリングを使用するか、Network Connectivity Center ハブの VPC スポークとして接続されています。

次のリソースは VPC ネットワークにあります。

• VM ネットワーク インターフェース
• Cloud VPN トンネル
• Cloud Interconnect VLAN アタッチメント
• ルーター アプライアンス
• プロキシ専用サブネット内の Envoy プロキシ
• Private Service Connect エンドポイント
• サーバーレス VPC アクセス コネクタ

VPC ネットワーク内のタイプの条件

このセクションでは、パケットが VPC 内ネットワーク タイプに属するかどうかを Cloud NGFW が判断するために使用する条件について説明します。

次の条件がすべて満たされている場合、パケットは、送信元組み合わせで intra-VPC タイプを使用する上り（内向き）ルールに一致します。

• パケットが他のソース パラメータの少なくとも 1 つに一致する。

• パケットは、上り（内向き）ルールを含むファイアウォール ポリシーが適用される VPC ネットワーク内のリソースによって送信されます。

次のリソースは VPC ネットワークにあります。

• VM ネットワーク インターフェース
• Cloud VPN トンネル
• Cloud Interconnect VLAN アタッチメント
• ルーター アプライアンス
• プロキシ専用サブネット内の Envoy プロキシ
• Private Service Connect エンドポイント
• サーバーレス VPC アクセス コネクタ