Netzwerktypen

In den folgenden Abschnitten wird beschrieben, wie Cloud Next Generation Firewall Traffic anhand von Netzwerktypen klassifiziert. Weitere Informationen zu Netzwerktypen finden Sie unter Netzwerktypen.

Kriterien für den Internetnetzwerktyp

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud Next Generation Firewall ermittelt, ob ein Paket zum Netzwerktyp „Internet“ gehört.

Typ des Internetnetzwerks für eingehende Pakete

Eingehende Pakete, die von einem Google Maglev an eine Netzwerkschnittstelle einer VM weitergeleitet werden, gehören zum Netzwerktyp „Internet“. Pakete werden von einem Maglev an eine VM-Netzwerkschnittstelle weitergeleitet, wenn das Paketziel mit einem der folgenden Elemente übereinstimmt:

• Eine regionale externe IPv4-Adresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines externen Passthrough-Network Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung.
• Eine regionale externe IPv6-Adresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines externen Passthrough-Network Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung und das Paket nicht über eine lokale Subnetzroute oder eine Subnetzroute weitergeleitet wurde, die über VPC Network Peering oder von einem VPC-Spoke in einem Network Connectivity Center-Hub importiert wurde.

Weitere Informationen zu Paketen, die von Maglev an Backend-VMs für einen externen Passthrough-Network Load Balancer oder die externe Protokollweiterleitung weitergeleitet werden, finden Sie unter Pfade für externe Passthrough-Network Load Balancer und die externe Protokollweiterleitung.

Typ des Internetnetzwerks für ausgehende Pakete

Die meisten ausgehenden Pakete, die von VM-Netzwerkschnittstellen gesendet und über eine statische Route weitergeleitet werden, deren nächster Hop das Standard-Internetgateway ist, gehören zum Netzwerktyp „Internet“. Wenn die Ziel-IP-Adressen dieser Egress-Pakete jedoch für globale Google APIs und ‑Dienste bestimmt sind, gehören diese Pakete zum Netzwerktyp „Nicht-Internet“. Weitere Informationen zur Verbindung mit globalen Google-APIs und ‑Diensten finden Sie unter Netzwerktyp ohne Internetverbindung.

Wenn die Pakete über eine statische Route weitergeleitet werden, deren nächster Hop das Standard-Internetgateway ist, gehören alle Pakete, die von den VM-Netzwerkschnittstellen an die folgenden Ziele gesendet werden, zum Netzwerktyp „Internet“:

• Ein externes IP-Adressziel außerhalb des Google-Netzwerks.
• Eine regionale externe IPv4-Zieladresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines regionalen externen Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung.
• Eine regionale externe IPv6-Zieladresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines regionalen externen Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung.
• Ein globales externes IPv4- und IPv6-Adressziel einer Weiterleitungsregel eines globalen externen Load-Balancers.

Pakete, die von den VM-Netzwerkschnittstellen an Cloud VPN- und Cloud NAT-Gateways gesendet werden, gehören zum Netzwerktyp „Internet“:

• Pakete für ausgehenden Traffic, die von einer Netzwerkschnittstelle einer VM mit Cloud VPN-Software an die regionale externe IPv4-Adresse eines Cloud VPN-Gateways gesendet werden, gehören zum Netzwerktyp „Internet“.
• Ausgangspakete, die von einem Cloud VPN-Gateway an ein anderes Cloud VPN-Gateway gesendet werden, gehören zu keinem Netzwerktyp, da Firewallregeln nicht für Cloud VPN-Gateways gelten.
• Bei Public NAT gehören Antwortpakete, die von einer VM-Netzwerkschnittstelle an die regionale externe IPv4-Adresse eines Cloud NAT-Gateways gesendet werden, zum Netzwerktyp „Internet“.

Wenn VPC-Netzwerke über VPC Network Peering verbunden sind oder VPC-Netzwerke als VPC-Spokes am selben Network Connectivity Center-Hub teilnehmen, können IPv6-Subnetzrouten die Verbindung zu regionalen externen IPv6-Adressenzielen von VM-Netzwerkschnittstellen, regionalen externen Load-Balancer-Weiterleitungsregeln und externen Protokollweiterleitungsregeln ermöglichen. Wenn die Verbindung zu diesen regionalen externen IPv6-Adresszielen über eine Subnetzroute erfolgt, befinden sich die Ziele stattdessen im Netzwerktyp „Nicht-Internet“.

Kriterien für den Netzwerktyp „Nicht-Internet“

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud NGFW bestimmt, ob ein Paket zum Netzwerktyp „Nicht-Internet“ gehört.

Nicht internetbasierter Netzwerktyp für eingehende Pakete

Pakete für eingehenden Traffic gehören zum Netzwerktyp „Nicht-Internet“, wenn sie auf eine der folgenden Arten an die Netzwerkschnittstelle einer VM-Instanz oder an eine Weiterleitungsregel für einen internen Load Balancer weitergeleitet werden:

• Die Pakete werden über eine Subnetzroute weitergeleitet und die Paketziele stimmen mit einem der folgenden überein:
  • Eine regionale interne IPv4- oder IPv6-Zieladresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines internen Load Balancers oder einer Weiterleitungsregel für die interne Protokollweiterleitung.
  • Eine regionale externe IPv6-Zieladresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines regionalen externen Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung.
• Die Pakete werden über eine statische Route an eine VM-Instanz oder einen internen Passthrough-Network-Load-Balancer als nächsten Hop weitergeleitet.
• Die Pakete werden über eine richtlinienbasierte Route an einen internen Passthrough Network Load Balancer als nächsten Hop weitergeleitet.
• Die Pakete werden über einen der folgenden speziellen Routingpfade weitergeleitet:
  • Von einem Google Front End der zweiten Ebene, das von einem globalen externen Application Load Balancer, einem klassischen Application Load Balancer, einem globalen externen Proxy-Network Load Balancer oder einem klassischen Proxy-Network Load Balancer verwendet wird. Weitere Informationen finden Sie unter Pfade zwischen Google Front Ends und Back-Ends.
  • Von einem Systemdiagnose-Prober. Weitere Informationen finden Sie unter Pfade für Systemdiagnosen.
  • Von Identity-Aware Proxy für die TCP-Weiterleitung. Weitere Informationen finden Sie unter Pfade für Identity-Aware Proxy (IAP).
  • Aus Cloud DNS oder Service Directory. Weitere Informationen finden Sie unter Pfade für Cloud DNS und Service Directory.
  • Über den serverlosen VPC-Zugriff. Weitere Informationen finden Sie unter Pfade für serverlosen VPC-Zugriff.
  • Über einen Private Service Connect-Endpunkt für globale Google APIs. Weitere Informationen finden Sie unter Pfade für Private Service Connect-Endpunkte für globale Google APIs.

Eingehende Antwortpakete von globalen Google-APIs und ‑Diensten gehören ebenfalls zum Netzwerktyp „Nicht-Internet“. Antwortpakete von globalen Google APIs und ‑Diensten können aus einer der folgenden Quellen stammen:

• Eine IP-Adresse für die Standarddomains, die von globalen Google APIs und Diensten verwendet werden.
• Eine IP-Adresse für private.googleapis.com oder restricted.googleapis.com.
• Ein Private Service Connect-Endpunkt für globale Google APIs.

Nicht internetbasierter Netzwerktyp für ausgehende Pakete

Pakete für ausgehenden Traffic, die von VM-Netzwerkschnittstellen gesendet werden, gehören zum Netzwerktyp „Nicht-Internet“, wenn die Pakete auf eine der folgenden Arten weitergeleitet werden:

• Die Pakete werden über eine Subnetzroute weitergeleitet und die Paketziele stimmen mit einem der folgenden überein:
  • Eine regionale interne IPv4- oder IPv6-Zieladresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines internen Load Balancers oder einer Weiterleitungsregel für die interne Protokollweiterleitung.
  • Eine regionale externe IPv6-Zieladresse einer VM-Netzwerkschnittstelle, einer Weiterleitungsregel eines regionalen externen Load Balancers oder einer Weiterleitungsregel für die externe Protokollweiterleitung.
• Die Pakete werden über dynamische Routen weitergeleitet.
• Die Pakete werden über statische Routen weitergeleitet, die einen Next Hop verwenden, der nicht das Standard-Internetgateway ist.
• Die Pakete werden über statische Routen weitergeleitet, die den nächsten Hop des Standard-Internetgateways verwenden und deren Zieladressen mit einer der folgenden übereinstimmen:
  • Eine IP-Adresse für die Standarddomains, die von globalen Google APIs und Diensten verwendet werden.
  • Eine IP-Adresse für private.googleapis.com oder restricted.googleapis.com.
• Die Pakete werden über eine richtlinienbasierte Route an einen internen Passthrough Network Load Balancer als nächsten Hop weitergeleitet.
• Die Pakete werden über einen der folgenden speziellen Routingpfade weitergeleitet:
  • Pfade zwischen Google Front Ends der zweiten Ebene und Back-Ends
  • Pfade für Systemdiagnosen
  • Pfade für Identity-Aware Proxy (IAP)
  • Pfade für Cloud DNS und Service Directory
  • Pfade für den serverlosen VPC-Zugriff
  • Pfade für Private Service Connect-Endpunkte für globale Google-APIs

Kriterien für den VPC-Netzwerktyp

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud NGFW bestimmt, ob ein Paket zum Typ „VPC-Netzwerke“ gehört.

Ein Paket entspricht einer Regel für eingehenden Traffic, die den VPC-Netzwerktyp in der Quellkombination verwendet, wenn alle folgenden Bedingungen erfüllt sind:

• Das Paket entspricht mindestens einem der anderen Quellparameter.

• Das Paket wird von einer Ressource in einem der Quell-VPC-Netzwerke gesendet.

• Das Quell-VPC-Netzwerk und das VPC-Netzwerk, für das die Firewallrichtlinie mit der Ingress-Regel gilt, sind dasselbe VPC-Netzwerk oder sind entweder über VPC-Netzwerk-Peering oder als VPC-Spokes in einem Network Connectivity Center-Hub verbunden.

Die folgenden Ressourcen befinden sich in einem VPC-Netzwerk:

• VM-Netzwerkschnittstellen
• Cloud VPN-Tunnel
• Cloud Interconnect-VLAN-Anhänge
• Router-Appliances
• Envoy-Proxys in einem Nur-Proxy-Subnetz
• Private Service Connect-Endpunkte
• Connectors für serverlosen VPC-Zugriff

Kriterien für den Intra-VPC-Netzwerktyp

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud NGFW ermittelt, ob ein Paket zum VPC-internen Netzwerktyp gehört.

Ein Paket entspricht einer Regel für eingehenden Traffic, die in ihrer Quellkombination den Typ „intra-VPC“ verwendet, wenn alle folgenden Bedingungen erfüllt sind:

• Das Paket entspricht mindestens einem der anderen Quellparameter.

• Das Paket wird von einer Ressource im VPC-Netzwerk gesendet, auf das die Firewallrichtlinie mit der Regel für eingehenden Traffic angewendet wird.

Die folgenden Ressourcen befinden sich in einem VPC-Netzwerk:

• VM-Netzwerkschnittstellen
• Cloud VPN-Tunnel
• Cloud Interconnect-VLAN-Anhänge
• Router-Appliances
• Envoy-Proxys in einem Nur-Proxy-Subnetz
• Private Service Connect-Endpunkte
• Connectors für serverlosen VPC-Zugriff