了解网络类型

以下部分介绍了 Cloud 新一代防火墙如何使用网络类型对流量进行分类。如需了解详情，请参阅网络类型。

互联网网络类型的条件

本部分介绍了 Cloud 新一代防火墙用于确定数据包是否属于互联网网络类型的条件。

入站数据包的互联网网络类型

由 Google Maglev 路由到虚拟机 (VM) 网络接口的入站数据包属于互联网网络类型。当数据包目的地与以下任一条件匹配时，数据包会由 Maglev 路由到虚拟机网络接口：

• 虚拟机网络接口的区域外部 IPv4 地址、外部直通式网络负载均衡器的转发规则或外部协议转发的转发规则。
• 虚拟机网络接口的区域外部 IPv6 地址、外部直通式网络负载平衡器的转发规则或外部协议转发的转发规则，并且数据包未使用本地子网路由或通过 VPC 网络对等互连或从 NCC Hub 上的 VPC Spoke 导入的子网路由进行路由。

如需详细了解 Maglev 为外部直通式网络负载平衡器或外部协议转发路由到后端虚拟机的数据包，请参阅外部直通式网络负载平衡器和外部协议转发的路径。

出站数据包的互联网网络类型

从虚拟机网络接口发送的大多数出站数据包都通过下一个跃点为默认互联网网关的静态路由进行路由，属于互联网网络类型。不过，如果这些出站数据包的目标 IP 地址是全球 Google API 和服务的 IP 地址，则这些数据包属于非互联网网络类型。如需详细了解与全球 Google API 和服务的连接性，请参阅非互联网网络类型。

当数据包使用下一个跃点为默认互联网网关的静态路由进行路由时，虚拟机网络接口发送到以下任何目标位置的数据包都属于互联网网络类型：

• Google 网络之外的外部 IP 地址目的地。
• 虚拟机网络接口的区域外部 IPv4 地址目的地、区域外部负载均衡器的转发规则或外部协议转发的转发规则。
• 虚拟机网络接口的区域性外部 IPv6 地址目标、区域性外部负载均衡器的转发规则或外部协议转发的转发规则。
• 全球外部负载均衡器转发规则的全球外部 IPv4 和 IPv6 地址目标。

由虚拟机网络接口发送到 Cloud VPN 和 Cloud NAT 网关的数据包属于互联网网络类型：

• 从运行 Cloud VPN 软件的虚拟机的网络接口发送到 Cloud VPN 网关的区域级外部 IPv4 地址的出站数据包属于互联网网络类型。
• 从一个 Cloud VPN 网关发送到另一个 Cloud VPN 网关的出站数据包不属于任何网络类型，因为防火墙规则不适用于 Cloud VPN 网关。
• 对于 Public NAT，从虚拟机网络接口发送到 Cloud NAT 网关的区域级外部 IPv4 地址的响应数据包属于互联网网络类型。

如果 VPC 网络通过 VPC 网络对等互连进行连接，或者 VPC 网络作为 VPC Spoke 参与到同一 NCC Hub 中，则 IPv6 子网路由可以为以下对象提供连接：虚拟机网络接口的区域外部 IPv6 地址、区域外部负载均衡器转发规则和外部协议转发规则。如果使用子网路由提供到这些区域外部 IPv6 地址目标的连接性，则这些目标将位于非互联网网络类型中。

非互联网网络类型的条件

本部分介绍了 Cloud NGFW 用于确定数据包是否属于非互联网网络类型的条件。

入站数据包的非互联网网络类型

如果入站数据包以以下方式之一路由到虚拟机实例的网络接口或内部负载均衡器转发规则，则这些数据包属于非互联网网络类型：

• 数据包通过使用子网路由进行路由，并且数据包目的地与以下项之一匹配：
  • 虚拟机网络接口的区域内部 IPv4 或 IPv6 地址目的地、内部负载均衡器的转发规则或内部协议转发的转发规则。
  • 虚拟机网络接口的区域性外部 IPv6 地址目标、区域性外部负载均衡器的转发规则或外部协议转发的转发规则。
• 数据包通过静态路由路由到下一个跃点虚拟机实例或下一个跃点内部直通式网络负载平衡器。
• 数据包通过基于政策的路由路由到下一个跃点内部直通式网络负载平衡器。
• 数据包通过以下特殊路由路径之一进行路由：
  • 从全球外部应用负载平衡器、传统应用负载平衡器、全球外部代理网络负载平衡器或传统代理网络负载平衡器使用的第二层 Google Front End。如需了解详情，请参阅 Google Front End 前端和后端之间的路径。
  • 来自健康检查探测器。如需了解详情，请参阅健康检查的路径。
  • 来自 Identity-Aware Proxy for TCP 转发。如需了解详情，请参阅 Identity-Aware Proxy (IAP) 的路径。
  • 来自 Cloud DNS 或 Service Directory。如需了解详情，请参阅 Cloud DNS 和 Service Directory 的路径。
  • 来自无服务器 VPC 访问通道。如需了解详情，请参阅无服务器 VPC 访问通道的路径。
  • 通过全球 Google API 的 Private Service Connect 端点。如需了解详情，请参阅适用于全球 Google API 的 Private Service Connect 端点的路径。

来自全球 Google API 和服务的入站响应数据包也属于非互联网网络类型。来自全球 Google API 和服务的响应数据包可以具有以下任何来源：

• 全球 Google API 和服务使用的默认网域的 IP 地址。
• private.googleapis.com 或 restricted.googleapis.com 的 IP 地址。
• 适用于全球 Google API 的 Private Service Connect 端点。

出站数据包的非互联网网络类型

如果出站数据包以以下方式之一进行路由，则从虚拟机网络接口发送的出站数据包属于非互联网网络类型：

• 数据包通过使用子网路由进行路由，并且数据包目的地与以下项之一匹配：
  • 虚拟机网络接口的区域内部 IPv4 或 IPv6 地址目的地、内部负载均衡器的转发规则或内部协议转发的转发规则。
  • 虚拟机网络接口的区域性外部 IPv6 地址目标、区域性外部负载均衡器的转发规则或外部协议转发的转发规则。
• 数据包通过动态路由进行路由。
• 数据包通过使用静态路由进行路由，该静态路由使用的下一个跃点不是默认互联网网关。
• 数据包通过使用默认互联网网关的下一个跃点的静态路由进行路由，并且数据包目的地与以下任一目的地相匹配：
  • 全球 Google API 和服务使用的默认网域的 IP 地址。
  • private.googleapis.com 或 restricted.googleapis.com 的 IP 地址。
• 数据包通过基于政策的路由路由到下一个跃点内部直通式网络负载平衡器。
• 数据包通过以下特殊路由路径之一进行路由：
  • 第二层 Google Front End 前端和后端之间的路径
  • 健康检查的路径
  • Identity-Aware Proxy (IAP) 的路径
  • Cloud DNS 和 Service Directory 的路径
  • 无服务器 VPC 访问通道的路径
  • 适用于全球 Google API 的 Private Service Connect 端点的路径

VPC 网络类型的条件

本部分介绍了 Cloud NGFW 用于确定数据包是否属于 VPC 网络类型的条件。

如果满足以下所有条件，数据包就会与在其来源组合中使用 VPC 网络类型的入站流量规则匹配：

• 数据包与至少一个其他来源参数匹配。

• 数据包由位于某个源 VPC 网络中的资源发送。

• 来源 VPC 网络与包含入站流量规则的防火墙政策所适用的 VPC 网络是同一 VPC 网络，或者通过 VPC 网络对等互连或作为 Network Connectivity Center hub 上的 VPC Spoke 进行连接。

以下资源位于 VPC 网络中：

• 虚拟机网络接口
• Cloud VPN 隧道
• Cloud Interconnect VLAN 连接
• 路由器设备
• 代理专用子网中的 Envoy 代理
• Private Service Connect 端点
• 无服务器 VPC 访问通道连接器

VPC 网络内部类型的条件

本部分介绍 Cloud NGFW 用于确定数据包是否属于 VPC 内网络类型的条件。

如果满足以下所有条件，数据包就会与在其来源组合中使用 VPC 内部类型的入口规则匹配：

• 数据包与至少一个其他来源参数匹配。

• 数据包由位于 VPC 网络中且包含入站流量规则的防火墙政策应用到的资源发送。

以下资源位于 VPC 网络中：

• 虚拟机网络接口
• Cloud VPN 隧道
• Cloud Interconnect VLAN 连接
• 路由器设备
• 代理专用子网中的 Envoy 代理
• Private Service Connect 端点
• 无服务器 VPC 访问通道连接器