Contesti di rete

I contesti di rete ti aiutano a raggiungere i tuoi obiettivi di sicurezza utilizzando in modo più efficiente un numero inferiore di regole dei criteri firewall. Cloud NGFW supporta quattro contesti di rete che possono essere utilizzati per creare una combinazione di origine o di destinazione in una regola di un criterio firewall gerarchico, di un criterio firewall di rete globale o di un criterio firewall di rete regionale.

La tabella seguente mostra come possono essere utilizzati i quattro contesti di rete nelle regole firewall.

Contesti di rete	Tipo di target supportato		Combinazione di direzione, origine o destinazione supportata
	INSTANCES	INTERNAL_MANAGED_LB	Combinazione di origine di una regola in entrata	Combinazione di destinazione di una regola in uscita
Internet (INTERNET)
Non internet (NON_INTERNET)
Reti VPC (VPC_NETWORKS)
Interno al VPC (INTRA_VPC)

I contesti di rete internet e non internet si escludono a vicenda. I contesti di rete VPC e intra-VPC sono sottoinsiemi del contesto di rete non internet.

Contesto di rete internet

Il contesto di rete internet (INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola di ingresso o come parte di una combinazione di destinazione di una regola di uscita:

• Per una regola in entrata, specifica l'origine del contesto internet e almeno un altro parametro di origine, ad eccezione di un'origine tag sicura. I pacchetti corrispondono alla regola di ingresso se corrispondono ad almeno uno degli altri parametri di origine e ai criteri di contesto di rete internet per i pacchetti in entrata.

• Per una regola di uscita, specifica la destinazione del contesto internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e ai criteri di contesto di rete internet per i pacchetti in uscita.

Criteri per il contesto di rete internet

Questa sezione descrive i criteri utilizzati da Cloud Next Generation Firewall per determinare se un pacchetto appartiene al contesto di rete internet.

Contesto di rete internet per i pacchetti in entrata

I pacchetti in entrata instradati a un'interfaccia di rete di una macchina virtuale (VM) da un Google Maglev appartengono al contesto di rete internet. I pacchetti vengono instradati da Maglev a un'interfaccia di rete VM quando la destinazione del pacchetto corrisponde a una delle seguenti:

• Un indirizzo IPv4 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno, e il pacchetto non è stato instradato utilizzando una route di subnet locale o una route di subnet importata dal peering di rete VPC o da uno spoke VPC su un hub NCC.

Per ulteriori informazioni sui pacchetti instradati da Maglev alle VM di backend per un bilanciatore del carico di rete passthrough esterno o per il forwarding del protocollo esterno, consulta Percorsi per i bilanciatori del carico di rete passthrough esterni e il forwarding del protocollo esterno.

Contesto di rete internet per i pacchetti in uscita

La maggior parte dei pacchetti in uscita inviati dalle interfacce di rete VM, instradati da una route statica il cui hop successivo è il gateway internet predefinito, appartengono al contesto di rete internet. Tuttavia, se gli indirizzi IP di destinazione di questi pacchetti in uscita sono per le API e i servizi Google globali, questi pacchetti appartengono al contesto di rete non internet. Per saperne di più sulla connettività ai servizi e alle API di Google globali, consulta Contesto di rete non internet.

Quando i pacchetti vengono instradati utilizzando una route statica il cui hop successivo è il gateway internet predefinito, tutti i pacchetti inviati dalle interfacce di rete della VM alle seguenti destinazioni appartengono al contesto di rete internet:

• Una destinazione con indirizzo IP esterno al di fuori della rete di Google.
• Un indirizzo IPv4 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• Una destinazione di indirizzi IPv4 e IPv6 esterni globali di una regola di forwarding di un bilanciatore del carico esterno globale.

I pacchetti inviati dalle interfacce di rete VM ai gateway Cloud VPN e Cloud NAT appartengono al contesto di rete internet:

• I pacchetti in uscita inviati da un'interfaccia di rete di una VM che esegue il software Cloud VPN a un indirizzo IPv4 esterno regionale di un gateway Cloud VPN appartengono al contesto di rete internet.
• I pacchetti in uscita inviati da un gateway Cloud VPN a un altro gateway Cloud VPN non appartengono a nessun contesto di rete perché le regole firewall non si applicano ai gateway Cloud VPN.
• Per Public NAT, i pacchetti di risposta inviati da un'interfaccia di rete VM a un indirizzo IPv4 esterno regionale di un gateway Cloud NAT appartengono al contesto di rete internet.

Se le reti VPC sono connesse tramite il peering di rete VPC o se partecipano come spoke VPC nello stesso hub NCC, le route di subnet IPv6 possono fornire connettività alle destinazioni di indirizzi IPv6 esterni regionali delle interfacce di rete VM, alle regole di forwarding del bilanciatore del carico esterno regionale e alle regole di forwarding del protocollo esterno. Quando la connettività a queste destinazioni di indirizzi IPv6 esterni regionali viene fornita utilizzando una route di subnet, le destinazioni si trovano invece nel contesto di rete non internet.

Contesto di rete non internet

Il contesto di rete non internet (NON-INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola di ingresso o come parte di una combinazione di destinazione di una regola di uscita:

• Per una regola in entrata, specifica l'origine del contesto non internet e almeno un altro parametro di origine, ad eccezione di un elenco di geolocalizzazioni sicure o di Google Threat Intelligence di origine. I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e criteri di contesto di rete non internet per i pacchetti in entrata.

• Per una regola di uscita, specifica la destinazione del contesto non internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola di uscita se corrispondono ad almeno uno degli altri parametri di destinazione e ai criteri di contesto di rete non internet per i pacchetti in uscita.

Criteri per il contesto di rete non internet

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al contesto di rete non internet.

Contesto di rete non internet per i pacchetti in entrata

I pacchetti in entrata appartengono al contesto di rete non internet se vengono instradati all'interfaccia di rete di un'istanza VM o a una regola di forwarding del bilanciatore del carico interno in uno dei seguenti modi:

• I pacchetti vengono instradati utilizzando una route di subnet e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IPv4 o IPv6 interno regionale di una regola di forwarding dell'interfaccia di rete di una VM, di un bilanciatore del carico interno o per il forwarding del protocollo interno.
  • Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando una route statica a un'istanza VM di hop successivo o a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando una route basata su policy a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando uno dei seguenti percorsi di routing speciali:
  • Da un Google Front End (GFE) di secondo livello utilizzato da un bilanciatore del carico delle applicazioni esterno globale, da un bilanciatore del carico delle applicazioni classico, da un bilanciatore del carico di rete proxy esterno globale o da un bilanciatore del carico di rete proxy classico. Per ulteriori informazioni, vedi Percorsi tra i frontend di Google e i backend.
  • Da un prober di controllo di integrità. Per saperne di più, consulta Percorsi per i controlli di integrità.
  • Da Identity-Aware Proxy per l'inoltro TCP. Per ulteriori informazioni, consulta Percorsi per Identity-Aware Proxy (IAP).
  • Da Cloud DNS o Service Directory. Per saperne di più, consulta Percorsi per Cloud DNS e Service Directory.
  • Da accesso VPC serverless. Per saperne di più, consulta Percorsi per l'accesso VPC serverless.
  • Da un endpoint Private Service Connect per le API di Google globali. Per saperne di più, consulta Percorsi per gli endpoint Private Service Connect per le API di Google globali.

Anche i pacchetti di risposta in entrata dalle API e dai servizi Google globali appartengono al contesto di rete non internet. I pacchetti di risposta delle API e dei servizi Google globali possono avere una delle seguenti origini:

• Un indirizzo IP per i domini predefiniti utilizzati dalle API e dai servizi Google globali.
• Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
• Un endpoint Private Service Connect per le API di Google globali.

Contesto di rete non internet per i pacchetti in uscita

I pacchetti in uscita inviati dalle interfacce di rete VM appartengono al contesto di rete non internet se vengono instradati in uno dei seguenti modi:

• I pacchetti vengono instradati utilizzando una route di subnet e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IPv4 o IPv6 interno regionale di una regola di forwarding dell'interfaccia di rete di una VM, di un bilanciatore del carico interno o per il forwarding del protocollo interno.
  • Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando route dinamiche.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano un hop successivo che non è il gateway internet predefinito.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano l'hop successivo del gateway internet predefinito e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IP per i domini predefiniti utilizzati dalle API e dai servizi Google globali.
  • Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
• I pacchetti vengono instradati utilizzando una route basata su policy a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando uno dei seguenti percorsi di routing speciali:
  • Percorsi tra i Google Front End di secondo livello e i backend
  • Percorsi per i controlli di integrità
  • Percorsi per Identity-Aware Proxy (IAP)
  • Percorsi per Cloud DNS e Service Directory
  • Percorsi per l'accesso VPC serverless
  • Percorsi per gli endpoint Private Service Connect per le API di Google globali

Contesto delle reti VPC

Il contesto di rete Reti VPC (VPC_NETWORKS) può essere utilizzato solo come parte di una combinazione di origine di una regola di ingresso. Per utilizzare il contesto delle reti VPC come parte di una combinazione di origini di una regola Ingress:

1. Devi specificare un elenco di reti VPC di origine:

   • L'elenco delle reti di origine deve contenere almeno una rete VPC. Puoi aggiungere un massimo di 250 reti VPC all'elenco delle reti di origine.
   • Una rete VPC deve esistere prima di poter essere aggiunta all'elenco delle reti di origine.
   • Puoi aggiungere l'emittente utilizzando l'identificatore URL parziale o completo.
   • Le reti VPC che aggiungi all'elenco delle reti di origine non devono essere connesse tra loro. Ogni rete VPC può trovarsi in qualsiasi progetto.
   • Se una rete VPC viene eliminata dopo essere stata aggiunta all'elenco delle reti di origine, il riferimento alla rete eliminata rimane nell'elenco. Cloud NGFW ignora le reti VPC eliminate quando applica una regola di traffico in entrata. Se tutte le reti VPC nell'elenco delle reti di origine vengono eliminate, le regole in entrata che si basano sull'elenco non sono efficaci perché non corrispondono ad alcun pacchetto.

2. Devi specificare almeno un altro parametro di origine, ad eccezione di un'origine elenco Google Threat Intelligence o di un'origine di geolocalizzazione.

I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e ai criteri per il contesto delle reti VPC.

Criteri per il contesto delle reti VPC

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al contesto delle reti VPC.

Un pacchetto corrisponde a una regola di ingresso che utilizza il contesto delle reti VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova in una delle reti VPC di origine.

• La rete VPC di origine e la rete VPC a cui si applica la policy del firewall contenente la regola in entrata sono la stessa rete VPC o sono connesse tramite il peering di rete VPC o come spoke VPC in un hub Network Connectivity Center.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete VM
• Tunnel Cloud VPN
• Collegamenti VLAN Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless

Contesto di rete intra-VPC

Il contesto di rete reti intra-VPC (INTRA_VPC) può essere utilizzato solo come parte di una combinazione di origine di una regola di ingresso. Per utilizzare il contesto delle reti intra-VPC come parte di una combinazione di origine di una regola di ingresso, devi specificare almeno un altro parametro di origine, ad eccezione di un'origine elenco Google Threat Intelligence o di un'origine geolocalizzazione.

I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e criteri per il contesto delle reti intra-VPC.

Criteri per il contesto di rete VPC interna

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al contesto di rete intra-VPC.

Un pacchetto corrisponde a una regola di ingresso che utilizza il contesto intra-VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova nella rete VPC a cui si applica la policy firewall contenente la regola in entrata.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete VM
• Tunnel Cloud VPN
• Collegamenti VLAN Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless