Konteks jaringan

Konteks jaringan membantu Anda mencapai tujuan keamanan dengan menggunakan lebih sedikit aturan kebijakan firewall secara lebih efisien. Cloud NGFW mendukung empat konteks jaringan yang dapat digunakan untuk membuat kombinasi sumber atau kombinasi tujuan dalam aturan kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Tabel berikut menunjukkan cara menggunakan empat konteks jaringan dalam aturan firewall.

Konteks jaringan	Jenis target yang didukung		Arah, kombinasi sumber, atau kombinasi tujuan yang didukung
	INSTANCES	INTERNAL_MANAGED_LB	Kombinasi sumber aturan masuk	Kombinasi tujuan aturan traffic keluar
Internet (INTERNET)
Non-internet (NON_INTERNET)
Jaringan VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Konteks jaringan internet dan non-internet bersifat eksklusif. Jaringan VPC dan konteks jaringan intra-VPC adalah subset dari konteks jaringan non-internet.

Konteks jaringan internet

Konteks jaringan internet (INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk atau sebagai bagian dari kombinasi tujuan aturan keluar:

• Untuk aturan ingress, tentukan sumber konteks internet dan minimal satu parameter sumber lainnya, kecuali untuk sumber tag aman. Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan kriteria konteks jaringan internet untuk paket masuk.

• Untuk aturan keluar, tentukan tujuan konteks internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lainnya dan kriteria konteks jaringan internet untuk paket keluar.

Kriteria untuk konteks jaringan internet

Bagian ini menjelaskan kriteria yang digunakan Cloud Next Generation Firewall untuk menentukan apakah paket termasuk dalam konteks jaringan internet.

Konteks jaringan internet untuk paket masuk

Paket masuk yang dirutekan ke antarmuka jaringan virtual machine (VM) oleh Maglev Google termasuk dalam konteks jaringan internet. Paket dirutekan oleh Maglev ke antarmuka jaringan VM jika tujuan paket cocok dengan salah satu dari berikut ini:

• Alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal.
• Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket tidak dirutekan menggunakan rute subnet lokal atau rute subnet yang diimpor oleh Peering Jaringan VPC atau dari spoke VPC di hub NCC.

Untuk mengetahui informasi selengkapnya tentang paket yang dirutekan oleh Maglev ke VM backend untuk Load Balancer Jaringan passthrough eksternal atau penerusan protokol eksternal, lihat Jalur untuk Load Balancer Jaringan passthrough eksternal dan penerusan protokol eksternal.

Konteks jaringan internet untuk paket keluar

Sebagian besar paket keluar yang dikirim dari antarmuka jaringan VM, yang dirutekan oleh rute statis yang next hop-nya adalah gateway internet default, termasuk dalam konteks jaringan internet. Namun, jika alamat IP tujuan paket egress ini adalah untuk Google API dan layanan Google global, paket ini termasuk dalam konteks jaringan non-internet. Untuk mengetahui informasi selengkapnya tentang konektivitas ke API dan layanan Google global, lihat Konteks jaringan non-internet.

Jika paket dirutekan menggunakan rute statis yang next hop-nya adalah gateway internet default, semua paket yang dikirim oleh antarmuka jaringan VM ke tujuan berikut termasuk dalam konteks jaringan internet:

• Tujuan alamat IP eksternal di luar jaringan Google.
• Tujuan alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv4 dan IPv6 eksternal global dari aturan penerusan load balancer eksternal global.

Paket yang dikirim oleh antarmuka jaringan VM ke gateway Cloud VPN dan Cloud NAT termasuk dalam konteks jaringan internet:

• Paket keluar yang dikirim dari antarmuka jaringan VM yang menjalankan software Cloud VPN ke alamat IPv4 eksternal regional gateway Cloud VPN termasuk dalam konteks jaringan internet.
• Paket keluar yang dikirim dari satu gateway Cloud VPN ke gateway Cloud VPN lain tidak termasuk dalam konteks jaringan apa pun karena aturan firewall tidak berlaku untuk gateway Cloud VPN.
• Untuk NAT Publik, paket respons yang dikirim dari antarmuka jaringan VM ke alamat IPv4 eksternal regional gateway Cloud NAT termasuk dalam konteks jaringan internet.

Jika jaringan VPC terhubung menggunakan Peering Jaringan VPC atau jika jaringan VPC berpartisipasi sebagai spoke VPC di hub NCC yang sama, rute subnet IPv6 dapat menyediakan konektivitas ke tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, dan aturan penerusan protokol eksternal. Jika konektivitas ke tujuan alamat IPv6 eksternal regional tersebut disediakan menggunakan rute subnet, tujuan tersebut berada dalam konteks jaringan non-internet.

Konteks jaringan non-internet

Konteks jaringan non-internet (NON-INTERNET) dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk atau sebagai bagian dari kombinasi tujuan aturan keluar:

• Untuk aturan masuk, tentukan sumber konteks non-internet dan setidaknya satu parameter sumber lainnya, kecuali untuk geolokasi aman atau daftar Google Threat Intelligence sumber. Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber dan kriteria konteks jaringan non-internet lainnya untuk paket masuk.

• Untuk aturan keluar, tentukan tujuan konteks non-internet dan setidaknya satu parameter tujuan lainnya. Paket cocok dengan aturan keluar jika cocok dengan setidaknya salah satu parameter tujuan lainnya dan kriteria konteks jaringan non-internet untuk paket keluar.

Kriteria untuk konteks jaringan non-internet

Bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam konteks jaringan non-internet.

Konteks jaringan non-internet untuk paket masuk

Paket masuk termasuk dalam konteks jaringan non-internet jika paket dirutekan ke antarmuka jaringan instance VM atau ke aturan penerusan load balancer internal dengan salah satu cara berikut:

• Paket dirutekan menggunakan rute subnet, dan tujuan paket cocok dengan salah satu hal berikut:
  • Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
  • Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Paket dirutekan menggunakan rute statis ke instance VM next hop atau Load Balancer Jaringan passthrough internal next hop.
• Paket dirutekan menggunakan rute berbasis kebijakan ke Load Balancer Jaringan passthrough internal next hop.
• Paket dirutekan menggunakan salah satu jalur perutean khusus berikut:
  • Dari Google Front End lapisan kedua yang digunakan oleh Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal global, atau Load Balancer Jaringan proxy klasik. Untuk mengetahui informasi selengkapnya, lihat Jalur antara Backend dan Frontend Google.
  • Dari penguji pemeriksaan kesehatan. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk health check.
  • Dari penerusan TCP Identity-Aware Proxy. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Identity-Aware Proxy (IAP).
  • Dari Cloud DNS atau Direktori Layanan. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Cloud DNS dan Service Directory.
  • Dari Akses VPC Serverless. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Akses VPC Serverless.
  • Dari endpoint Private Service Connect untuk Google API global. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk endpoint Private Service Connect untuk Google API global.

Paket respons masuk dari Google API dan layanan Google global juga termasuk dalam konteks jaringan non-internet. Paket respons dari API dan layanan Google global dapat memiliki salah satu sumber berikut:

• Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
• Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
• Endpoint Private Service Connect untuk Google API global.

Konteks jaringan non-internet untuk paket keluar

Paket keluar yang dikirim dari antarmuka jaringan VM termasuk dalam konteks jaringan non-internet jika paket dirutekan dengan salah satu cara berikut:

• Paket dirutekan menggunakan rute subnet, dan tujuan paket cocok dengan salah satu hal berikut:
  • Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
  • Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Paket dirutekan menggunakan rute dinamis.
• Paket dirutekan menggunakan rute statis yang menggunakan next hop yang bukan gateway internet default.
• Paket dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default dan tujuan paket cocok dengan salah satu dari berikut ini:
  • Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
  • Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
• Paket dirutekan menggunakan rute berbasis kebijakan ke Load Balancer Jaringan passthrough internal next hop.
• Paket dirutekan menggunakan salah satu jalur perutean khusus berikut:
  • Jalur antara Google Front End lapisan kedua dan backend
  • Jalur untuk health check
  • Jalur untuk Identity-Aware Proxy (IAP)
  • Jalur untuk Cloud DNS dan Service Directory
  • Jalur untuk Akses VPC Serverless
  • Jalur untuk endpoint Private Service Connect untuk Google API global

Konteks jaringan VPC

Konteks jaringan VPC networks (VPC_NETWORKS) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan ingress. Untuk menggunakan konteks jaringan VPC sebagai bagian dari kombinasi sumber aturan ingress, lakukan hal berikut:

1. Anda harus menentukan daftar jaringan VPC sumber:

   • Daftar jaringan sumber harus berisi setidaknya satu jaringan VPC. Anda dapat menambahkan maksimal 250 jaringan VPC ke daftar jaringan sumber.
   • Jaringan VPC harus ada sebelum Anda dapat menambahkannya ke daftar jaringan sumber.
   • Anda dapat menambahkan jaringan menggunakan ID URL sebagian atau lengkap.
   • Jaringan VPC yang Anda tambahkan ke daftar jaringan sumber tidak perlu terhubung satu sama lain. Setiap jaringan VPC dapat berada di project mana pun.
   • Jika jaringan VPC dihapus setelah ditambahkan ke daftar jaringan sumber, referensi ke jaringan yang dihapus akan tetap ada dalam daftar. Cloud NGFW mengabaikan jaringan VPC yang dihapus saat menerapkan aturan masuk. Jika semua jaringan VPC dalam daftar jaringan sumber dihapus, aturan ingress yang mengandalkan daftar tersebut tidak akan efektif karena tidak cocok dengan paket apa pun.

2. Anda harus menentukan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar Google Threat Intelligence atau sumber geolokasi.

Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan kriteria untuk konteks jaringan VPC.

Kriteria untuk konteks jaringan VPC

Bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam konteks jaringan VPC.

Paket cocok dengan aturan masuk yang menggunakan konteks jaringan VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di salah satu jaringan VPC sumber.

• Jaringan VPC sumber dan jaringan VPC yang kebijakan firewall yang berisi aturan masuk diterapkan adalah jaringan VPC yang sama, atau terhubung menggunakan Peering Jaringan VPC atau sebagai spoke VPC di hub Network Connectivity Center.

Resource berikut terletak di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless

Konteks jaringan intra-VPC

Konteks jaringan intra-VPC networks (INTRA_VPC) hanya dapat digunakan sebagai bagian dari kombinasi sumber aturan masuk. Untuk menggunakan konteks jaringan intra-VPC sebagai bagian dari kombinasi sumber aturan masuk, Anda harus menentukan setidaknya satu parameter sumber lainnya, kecuali untuk sumber daftar Google Threat Intelligence atau sumber geolokasi.

Paket cocok dengan aturan masuk jika cocok dengan setidaknya salah satu parameter sumber lainnya dan kriteria untuk konteks jaringan intra-VPC.

Kriteria untuk konteks jaringan intra-VPC

Bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam konteks jaringan intra-VPC.

Paket cocok dengan aturan masuk yang menggunakan konteks intra-VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di jaringan VPC yang kebijakan firewall-nya berisi aturan ingress.

Resource berikut terletak di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless