Contesti di rete

I contesti di rete ti aiutano a raggiungere i tuoi obiettivi di sicurezza utilizzando in modo più efficiente un numero inferiore di regole delle policy firewall. Cloud NGFW supporta quattro contesti di rete che possono essere utilizzati per creare una combinazione di origine o una combinazione di destinazione in una regola di una policy del firewall gerarchica, una policy del firewall di rete globale o una policy del firewall di rete a livello di regione.

La tabella seguente mostra come i quattro contesti di rete possono essere utilizzati nelle regole firewall.

Contesti di rete	Tipo di destinazione supportato		Direzione, combinazione di origine o combinazione di destinazione supportata
	INSTANCES	INTERNAL_MANAGED_LB	Combinazione di origine di una regola in entrata	Combinazione di destinazione di una regola in uscita
Internet (INTERNET)
Non internet (NON_INTERNET)
Reti VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

I contesti di rete internet e non internet si escludono a vicenda. I contesti di rete VPC e intra-VPC sono sottoinsiemi del contesto di rete non internet.

Contesto di rete internet

Il contesto di rete internet (INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola in entrata o come parte di una combinazione di destinazione di una regola in uscita:

• Per una regola in entrata, specifica l'origine del contesto internet e almeno un altro parametro di origine, ad eccezione di un'origine di tag sicuri. I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e ai criteri del contesto di rete internet per i pacchetti in entrata.

• Per una regola in uscita, specifica la destinazione del contesto internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola in uscita se corrispondono ad almeno uno degli altri parametri di destinazione e ai criteri del contesto di rete internet per i pacchetti in uscita.

Criteri per il contesto di rete internet

Questa sezione descrive i criteri utilizzati da Cloud Next Generation Firewall per determinare se un pacchetto appartiene al contesto di rete internet.

Contesto di rete internet per i pacchetti in entrata

I pacchetti in entrata instradati a un'interfaccia di rete di una macchina virtuale (VM) da un Google Maglev appartengono al contesto di rete internet. I pacchetti vengono instradati da un Maglev a un'interfaccia di rete di una VM quando la destinazione del pacchetto corrisponde a una delle seguenti:

• Un indirizzo IPv4 esterno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno, e il pacchetto non è stato instradato utilizzando una route di subnet locale o una route di subnet importata dal peering di rete VPC o da uno spoke VPC su un hub NCC.

Per ulteriori informazioni sui pacchetti instradati da Maglev alle VM di backend per un bilanciatore del carico di rete passthrough esterno o per il forwarding del protocollo esterno, consulta Percorsi per bilanciatori del carico di rete passthrough esterni e forwarding del protocollo esterno.

Contesto di rete internet per i pacchetti in uscita

La maggior parte dei pacchetti in uscita inviati dalle interfacce di rete delle VM, instradati da una route statica il cui hop successivo è il gateway internet predefinito, appartengono al contesto di rete internet. Tuttavia, se gli indirizzi IP di destinazione di questi pacchetti in uscita sono per le API di Google e i servizi Google globali, questi pacchetti appartengono al contesto di rete non internet. Per ulteriori informazioni sulla connettività alle API di Google e ai servizi globali, consulta Contesto di rete non internet.

Quando i pacchetti vengono instradati utilizzando una route statica il cui hop successivo è il gateway internet predefinito, tutti i pacchetti inviati dalle interfacce di rete delle VM alle seguenti destinazioni appartengono al contesto di rete internet:

• Una destinazione di indirizzo IP esterno al di fuori della rete di Google.
• Una destinazione di indirizzo IPv4 esterno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico esterno a livello di regione o una regola di forwarding per il forwarding del protocollo esterno.
• Una destinazione di indirizzo IPv6 esterno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico esterno a livello di regione o una regola di forwarding per il forwarding del protocollo esterno.
• Una destinazione di indirizzo IPv4 e IPv6 esterno globale di una regola di forwarding di un bilanciatore del carico esterno globale.

I pacchetti inviati dalle interfacce di rete delle VM ai gateway Cloud VPN e Cloud NAT appartengono al contesto di rete internet:

• I pacchetti in uscita inviati da un'interfaccia di rete di una VM che esegue il software Cloud VPN a un indirizzo IPv4 esterno a livello di regione di un gateway Cloud VPN appartengono al contesto di rete internet.
• I pacchetti in uscita inviati da un gateway Cloud VPN a un altro gateway Cloud VPN non appartengono a nessun contesto di rete perché le regole firewall non si applicano ai gateway Cloud VPN.
• Per Public NAT, i pacchetti di risposta inviati da un'interfaccia di rete di una VM a un indirizzo IPv4 esterno a livello di regione di un gateway Cloud NAT appartengono al contesto di rete internet.

Se le reti VPC sono connesse tramite il peering di rete VPC o se le reti VPC partecipano come spoke VPC sullo stesso hub NCC, le route di subnet IPv6 possono fornire connettività alle destinazioni di indirizzi IPv6 esterni a livello di regione delle interfacce di rete delle VM, alle regole di forwarding del bilanciatore del carico esterno a livello di regione e alle regole di forwarding del protocollo esterno. Quando la connettività a queste destinazioni di indirizzi IPv6 esterni a livello di regione viene fornita utilizzando una route di subnet, le destinazioni si trovano invece nel contesto di rete non internet.

Contesto di rete non internet

Il contesto di rete non internet (NON-INTERNET) può essere utilizzato come parte di una combinazione di origine di una regola in entrata o come parte di una combinazione di destinazione di una regola in uscita:

• Per una regola in entrata, specifica l'origine del contesto non internet e almeno un altro parametro di origine, ad eccezione di un'origine di elenco di Google Threat Intelligence o di un'origine di geolocalizzazione. I pacchetti corrispondono alla regola in entrata se corrispondono ad at almeno uno degli altri parametri di origine e ai criteri del contesto di rete non internet per i pacchetti in entrata.

• Per una regola in uscita, specifica la destinazione del contesto non internet e almeno un altro parametro di destinazione. I pacchetti corrispondono alla regola in uscita se corrispondono ad almeno uno degli altri parametri di destinazione e non internet ai criteri del contesto di rete per i pacchetti in uscita.

Criteri per il contesto di rete non internet

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al contesto di rete non internet.

Contesto di rete non internet per i pacchetti in entrata

I pacchetti in entrata appartengono al contesto di rete non internet se vengono instradati all'interfaccia di rete di un'istanza VM o a una regola di forwarding del bilanciatore del carico interno in uno dei seguenti modi:

• I pacchetti vengono instradati utilizzando una route di subnet, e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Una destinazione di indirizzo IPv4 o IPv6 interno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico interno o una regola di forwarding per il forwarding del protocollo interno.
  • Una destinazione di indirizzo IPv6 esterno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico esterno a livello di regione o una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando una route statica a un' istanza VM di hop successivo o a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando una route basata su policy a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando uno dei seguenti percorsi di routing speciali:
  • Da un Google Front End (GFE) di secondo livello utilizzato da un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico, un bilanciatore del carico di rete proxy esterno globale o un bilanciatore del carico di rete proxy classico. Per ulteriori informazioni, consulta Percorsi tra Google Front End e backend.
  • Da un prober di controllo di integrità. Per ulteriori informazioni, consulta Percorsi per i controlli di integrità.
  • Dal forwarding TCP di Identity-Aware Proxy. Per ulteriori informazioni, consulta Percorsi per Identity-Aware Proxy (IAP).
  • Da Cloud DNS o Service Directory. Per ulteriori informazioni, consulta Percorsi per Cloud DNS e Service Directory.
  • Dall'accesso VPC serverless. Per ulteriori informazioni, consulta Percorsi per l'accesso VPC serverless.
  • Da un endpoint di Private Service Connect per le API di Google globali. Per ulteriori informazioni, consulta Percorsi per gli endpoint di Private Service Connect per le API di Google globali.

Anche i pacchetti di risposta in entrata dalle API di Google e dai servizi globali appartengono al contesto di rete non internet. I pacchetti di risposta dalle API di Google e dai servizi globali possono avere una delle seguenti origini:

• Un indirizzo IP per i domini predefiniti utilizzati dalle API di Google e dai servizi globali.
• Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
• Un endpoint di Private Service Connect per le API di Google globali.

Contesto di rete non internet per i pacchetti in uscita

I pacchetti in uscita inviati dalle interfacce di rete delle VM appartengono al contesto di rete non internet se vengono instradati in uno dei seguenti modi:

• I pacchetti vengono instradati utilizzando una route di subnet, e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Una destinazione di indirizzo IPv4 o IPv6 interno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico interno o una regola di forwarding per il forwarding del protocollo interno.
  • Una destinazione di indirizzo IPv6 esterno a livello di regione di un'interfaccia di rete di una VM, una regola di forwarding di un bilanciatore del carico esterno a livello di regione o una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando route dinamiche.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano un hop successivo diverso dal gateway internet predefinito.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano l'hop successivo del gateway internet predefinito e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IP per i domini predefiniti utilizzati dalle API di Google e dai servizi globali.
  • Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
• I pacchetti vengono instradati utilizzando una route basata su policy a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando uno dei seguenti percorsi di routing speciali:
  • Percorsi tra Google Front End di secondo livello e backend
  • Percorsi per i controlli di integrità
  • Percorsi per Identity-Aware Proxy (IAP)
  • Percorsi per Cloud DNS e Service Directory
  • Percorsi per l'accesso VPC serverless
  • Percorsi per gli endpoint di Private Service Connect per le API di Google globali

Contesto di reti VPC

Il contesto di rete reti VPC (VPC_NETWORKS) può essere utilizzato solo come parte di una combinazione di origine di una regola in entrata. Per utilizzare il contesto di reti VPC come parte di una combinazione di origine di una regola in entrata, procedi nel seguente modo:

1. Devi specificare un elenco di reti VPC di origine:

   • L'elenco delle reti di origine deve contenere almeno una rete VPC. Puoi aggiungere un massimo di 250 reti VPC all'elenco delle reti di origine.
   • Prima di poter aggiungere una rete VPC all'elenco delle reti di origine, questa deve esistere.
   • Puoi aggiungere la rete utilizzando l'identificatore URL parziale o completo.
   • Le reti VPC che aggiungi all'elenco delle reti di origine non devono essere connesse tra loro. Ogni rete VPC può trovarsi in qualsiasi progetto.
   • Se una rete VPC viene eliminata dopo essere stata aggiunta all'elenco delle reti di origine, il riferimento alla rete eliminata rimane nell'elenco. Cloud NGFW ignora le reti VPC eliminate quando applica una regola in entrata. Se tutte le reti VPC nell'elenco delle reti di origine vengono eliminate, le regole in entrata che si basano sull'elenco non sono efficaci perché non corrispondono a nessun pacchetto.

2. Devi specificare almeno un altro parametro di origine, ad eccezione di un' origine di elenco di Google Threat Intelligence o origine di geolocalizzazione.

I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e ai criteri del contesto di reti VPC.

Criteri per il contesto di reti VPC

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al contesto di reti VPC.

Un pacchetto corrisponde a una regola in entrata che utilizza il contesto di reti VPC nella sua combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova in una delle reti VPC di origine.

• La rete VPC di origine e la rete VPC a cui si applica la policy del firewall contenente la regola in entrata sono la stessa rete VPC o sono connesse tramite il peering di rete VPC o come spoke VPC su un hub Network Connectivity Center.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete delle VM
• Tunnel Cloud VPN
• Collegamenti VLAN di Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless

Contesto di rete intra-VPC

Il contesto di rete reti intra-VPC (INTRA_VPC) può essere utilizzato solo come parte di una combinazione di origine di una regola in entrata. Per utilizzare il contesto di reti intra-VPC come parte di una combinazione di origine di una regola in entrata, devi specificare almeno un altro parametro di origine, ad eccezione di un' origine di elenco di Google Threat Intelligence o un' origine di geolocalizzazione.

I pacchetti corrispondono alla regola in entrata se corrispondono ad almeno uno degli altri parametri di origine e ai criteri del contesto di reti intra-VPC.

Criteri per il contesto di rete intra-VPC

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al contesto di rete intra-VPC.

Un pacchetto corrisponde a una regola in entrata che utilizza il contesto intra-VPC nella sua combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova nella rete VPC a cui si applica la policy del firewall contenente la regola in entrata.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete delle VM
• Tunnel Cloud VPN
• Collegamenti VLAN di Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless