Netzwerkkontexte

Netzwerkkontexte helfen Ihnen, Ihre Sicherheitsziele mit weniger Firewallrichtlinienregeln effizienter zu erreichen. Cloud NGFW unterstützt vier Netzwerkkontexte, die verwendet werden können, um eine Quell- oder Zielkombination in einer Regel einer hierarchischen Firewallrichtlinie, einer globalen Netzwerk-Firewallrichtlinie oder einer regionalen Netzwerk-Firewallrichtlinie zu erstellen.

In der folgenden Tabelle wird gezeigt, wie die vier Netzwerkkontexte in Firewallregeln verwendet werden können.

Netzwerkkontexte	Unterstützter Zieltyp		Unterstützte Richtung, Quellkombination oder Zielkombination
	INSTANCES	INTERNAL_MANAGED_LB	Quellkombination einer Regel für eingehenden Traffic	Zielkombination einer Regel für ausgehenden Traffic
Internet (INTERNET)
Ohne Internet (NON_INTERNET)
VPC-Netzwerke (VPC_NETWORKS)
VPC-intern (INTRA_VPC)

Die Netzwerkkontexte „Internet“ und „Ohne Internet“ schließen sich gegenseitig aus. Die Netzwerkkontexte „VPC-Netzwerke“ und „VPC-intern“ sind Teilmengen des Netzwerkkontexts „Ohne Internet“.

Netzwerkkontext „Internet“

Der Netzwerkkontext Internet (INTERNET) kann als Teil einer Quellkombination einer Regel für eingehenden Traffic oder als Teil einer Zielkombination einer Regel für ausgehenden Traffic verwendet werden:

• Geben Sie für eine Regel für eingehenden Traffic die Quelle des Internetkontexts und mindestens einen weiteren Quellparameter an, mit Ausnahme einer sicheren Tag-Quelle. Pakete stimmen mit der Regel für eingehenden Traffic überein, wenn sie mindestens einem der anderen Quellparameter und Kriterien für den Internetnetzwerkkontext für eingehende Pakete entsprechen.

• Geben Sie für eine Regel für ausgehenden Traffic das Ziel des Internetkontexts und mindestens einen weiteren Zielparameter an. Pakete stimmen mit der Regel für ausgehenden Traffic überein, wenn sie mindestens einem der anderen Zielparameter und Kriterien für den Internetnetzwerkkontext für ausgehende Pakete entsprechen.

Kriterien für den Netzwerkkontext „Internet“

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud Next Generation Firewall ermittelt, ob ein Paket zum Netzwerkkontext „Internet“ gehört.

Netzwerkkontext „Internet“ für eingehende Pakete

Eingehende Pakete, die von einem Google Maglev an eine Netzwerkschnittstelle einer virtuellen Maschine (VM) weitergeleitet werden, gehören zum Netzwerkkontext „Internet“. Pakete werden von einem Maglev an eine Netzwerkschnittstelle einer VM weitergeleitet, wenn das Ziel des Pakets mit einer der folgenden Optionen übereinstimmt:

• Eine regionale externe IPv4-Adresse einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines externen Passthrough-Network Load Balancers oder eine Weiterleitungsregel für die externe Protokollweiterleitung.
• Eine regionale externe IPv6-Adresse einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines externen Passthrough-Network Load Balancers oder eine Weiterleitungsregel für die externe Protokollweiterleitung und das Paket wurde nicht über eine lokale Subnetzroute oder eine Subnetzroute weitergeleitet, die über VPC-Netzwerk-Peering oder von einem VPC-Spoke in einem NCC-Hub importiert wurde.

Weitere Informationen zu Paketen, die von Maglev an Backend-VMs für einen externen Passthrough-Network Load Balancer oder die externe Protokollweiterleitung weitergeleitet werden, finden Sie unter Pfade für externe Passthrough-Network Load Balancer und externe Protokollweiterleitung.

Netzwerkkontext „Internet“ für ausgehende Pakete

Die meisten ausgehenden Pakete, die von Netzwerkschnittstellen von VMs gesendet und über eine statische Route weitergeleitet werden, deren nächster Hop das Standard-Internetgateway ist, gehören zum Netzwerkkontext „Internet“. Wenn die Ziel-IP-Adressen dieser ausgehenden Pakete jedoch für globale Google APIs und ‑Dienste bestimmt sind, gehören diese Pakete zum Netzwerkkontext „Ohne Internet“. Weitere Informationen zur Verbindung mit globalen Google APIs und ‑Diensten finden Sie unter Netzwerkkontext „Ohne Internet“.

Wenn die Pakete über eine statische Route weitergeleitet werden, deren nächster Hop das Standard-Internetgateway ist, gehören alle Pakete, die von den Netzwerkschnittstellen der VM an die folgenden Ziele gesendet werden, zum Netzwerkkontext „Internet“:

• Ein externes IP-Adressziel außerhalb des Google-Netzwerks.
• Ein regionales externes IPv4-Adressziel einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines regionalen externen Load Balancers oder eine Weiterleitungsregel für die externe Protokollweiterleitung.
• Ein regionales externes IPv6-Adressziel einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines regionalen externen Load Balancers oder eine Weiterleitungsregel für die externe Protokollweiterleitung.
• Ein globales externes IPv4- und IPv6-Adressziel einer Weiterleitungsregel eines globalen externen Load Balancers.

Pakete, die von den Netzwerkschnittstellen der VM an Cloud VPN- und Cloud NAT-Gateways gesendet werden, gehören zum Netzwerkkontext „Internet“:

• Ausgehende Pakete, die von einer Netzwerkschnittstelle einer VM mit Cloud VPN-Software an die regionale externe IPv4-Adresse eines Cloud VPN-Gateways gesendet werden, gehören zum Netzwerkkontext „Internet“.
• Ausgehende Pakete, die von einem Cloud VPN-Gateway an ein anderes Cloud VPN-Gateway gesendet werden, gehören zu keinem Netzwerkkontext, da Firewallregeln nicht auf Cloud VPN-Gateways angewendet werden.
• Bei Public NAT gehören Antwortpakete, die von einer Netzwerkschnittstelle einer VM an die regionale externe IPv4-Adresse eines Cloud NAT-Gateways gesendet werden, zum Netzwerkkontext „Internet“.

Wenn VPC-Netzwerke über VPC-Netzwerk-Peering verbunden sind oder als VPC-Spokes im selben NCC-Hub verwendet werden, können IPv6-Subnetzrouten eine Verbindung zu regionalen externen IPv6-Adresszielen von Netzwerkschnittstellen von VMs, regionalen externen Load Balancer-Weiterleitungsregeln und externen Protokollweiterleitungsregeln ermöglichen. Wenn die Verbindung zu diesen regionalen externen IPv6-Adresszielen über eine Subnetzroute erfolgt, befinden sich die Ziele stattdessen im Netzwerkkontext „Ohne Internet“.

Netzwerkkontext „Ohne Internet“

Der Netzwerkkontext Ohne Internet (NON-INTERNET) kann als Teil einer Quellkombination einer Regel für eingehenden Traffic oder als Teil einer Zielkombination einer Regel für ausgehenden Traffic verwendet werden:

• Geben Sie für eine Regel für eingehenden Traffic die Quelle des Kontexts „Ohne Internet“ und mindestens einen weiteren Quellparameter an, mit Ausnahme einer Quelle aus einer Google Threat Intelligence-Liste oder Quelle für die geografische Position. Pakete stimmen mit der Regel für eingehenden Traffic überein, wenn sie mindestens einem der anderen Quellparameter und den Kriterien für den Netzwerkkontext „Ohne Internet“ für eingehende Pakete entsprechen.

• Geben Sie für eine Regel für ausgehenden Traffic das Ziel des Kontexts „Ohne Internet“ und mindestens einen weiteren Zielparameter an. Pakete stimmen mit der Regel für ausgehenden Traffic überein, wenn sie mindestens einem der anderen Zielparameter und den Kriterien für den Netzwerkkontext „Ohne Internet“ für ausgehende Pakete entsprechen.

Kriterien für den Netzwerkkontext „Ohne Internet“

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud NGFW ermittelt, ob ein Paket zum Netzwerkkontext „Ohne Internet“ gehört.

Netzwerkkontext „Ohne Internet“ für eingehende Pakete

Eingehende Pakete gehören zum Netzwerkkontext „Ohne Internet“, wenn sie auf eine der folgenden Arten an die Netzwerkschnittstelle einer VM-Instanz oder an eine Weiterleitungsregel eines internen Load Balancers weitergeleitet werden:

• Die Pakete werden über eine Subnetzroute weitergeleitet, und die Ziele der Pakete stimmen mit einer der folgenden Optionen überein:
  • Ein regionales internes IPv4- oder IPv6-Adressziel einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines internen Load Balancers oder eine Weiterleitungsregel für die interne Protokollweiterleitung.
  • Ein regionales externes IPv6-Adressziel einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines regionalen externen Load Balancers oder eine Weiterleitungsregel für die externe Protokollweiterleitung.
• Die Pakete werden über eine statische Route an eine VM-Instanz als nächsten Hop oder an einen internen Passthrough-Network Load Balancer als nächsten Hop weitergeleitet.
• Die Pakete werden über eine richtlinienbasierte Route an einen internen Passthrough-Network Load Balancer als nächsten Hop weitergeleitet.
• Die Pakete werden über einen der folgenden speziellen Routing pfade weitergeleitet:
  • Von einem Google Front End der zweiten Ebene, das von einem globalen externen Application Load Balancer, einem klassischen Application Load Balancer, einem globalen externen Proxy-Network Load Balancer oder einem klassischen Proxy-Network Load Balancer verwendet wird. Weitere Informationen finden Sie unter Pfade zwischen Google Front Ends und Back-Ends.
  • Von einem Systemdiagnose-Prober. Weitere Informationen finden Sie unter Pfade für Systemdiagnosen.
  • Von Identity-Aware Proxy für die TCP-Weiterleitung. Weitere Informationen finden Sie unter Pfade für Identity-Aware Proxy (IAP).
  • Von Cloud DNS oder Service Directory. Weitere Informationen finden Sie unter Pfade für Cloud DNS und Service Directory.
  • Von serverlosem VPC-Zugriff. Weitere Informationen finden Sie unter Pfade für serverlosen VPC-Zugriff.
  • Von einem Private Service Connect-Endpunkt für globale Google APIs. Weitere Informationen finden Sie unter Pfade für Private Service Connect-Endpunkte für globale Google APIs.

Eingehende Antwortpakete von globalen Google APIs und ‑Diensten gehören ebenfalls zum Netzwerkkontext „Ohne Internet“. Antwortpakete von globalen Google APIs und ‑Diensten können eine der folgenden Quellen haben:

• Eine IP-Adresse für die Standard domains, die von globalen Google APIs und ‑Diensten verwendet werden.
• Eine IP-Adresse für private.googleapis.com oder restricted.googleapis.com.
• Ein Private Service Connect-Endpunkt für globale Google APIs.

Netzwerkkontext „Ohne Internet“ für ausgehende Pakete

Ausgehende Pakete, die von Netzwerkschnittstellen von VMs gesendet werden, gehören zum Netzwerkkontext „Ohne Internet“, wenn die Pakete auf eine der folgenden Arten weitergeleitet werden:

• Die Pakete werden über eine Subnetzroute weitergeleitet, und die Ziele der Pakete stimmen mit einer der folgenden Optionen überein:
  • Ein regionales internes IPv4- oder IPv6-Adressziel einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines internen Load Balancers oder eine Weiterleitungsregel für die interne Protokollweiterleitung.
  • Ein regionales externes IPv6-Adressziel einer Netzwerkschnittstelle einer VM, eine Weiterleitungsregel eines regionalen externen Load Balancers oder eine Weiterleitungsregel für die externe Protokollweiterleitung.
• Die Pakete werden über dynamische Routen weitergeleitet.
• Die Pakete werden über statische Routen weitergeleitet, die einen next Hop verwenden, der nicht das Standard-Internetgateway ist.
• Die Pakete werden über statische Routen weitergeleitet, die das Standard-Internetgateway als nächsten Hop verwenden und die Ziele der Pakete stimmen mit einer der folgenden Optionen überein:
  • Eine IP-Adresse für die Standard domains, die von globalen Google APIs und ‑Diensten verwendet werden.
  • Eine IP-Adresse für private.googleapis.com oder restricted.googleapis.com.
• Die Pakete werden über eine richtlinienbasierte Route an einen internen Passthrough-Network Load Balancer als nächsten Hop weitergeleitet.
• Die Pakete werden über einen der folgenden speziellen Routing pfade weitergeleitet:
  • Pfade zwischen Google Front Ends der zweiten Ebene und Back-Ends
  • Pfade für Systemdiagnosen
  • Pfade für Identity-Aware Proxy (IAP)
  • Pfade für Cloud DNS und Service Directory
  • Pfade für serverlosen VPC-Zugriff
  • Pfade für Private Service Connect-Endpunkte für globale Google APIs

Netzwerkkontext „VPC-Netzwerke“

Der Netzwerkkontext VPC-Netzwerke (VPC_NETWORKS) kann nur als Teil einer Quellkombination einer Regel für eingehenden Traffic verwendet werden. So verwenden Sie den Kontext „VPC-Netzwerke“ als Teil einer Quellkombination einer Regel für eingehenden Traffic:

1. Sie müssen eine Liste der VPC-Quellnetzwerke angeben:

   • Die Liste der Quellnetzwerke muss mindestens ein VPC-Netzwerk enthalten. Sie können der Liste der Quellnetzwerke maximal 250 VPC-Netzwerke hinzufügen.
   • Ein VPC-Netzwerk muss vorhanden sein, bevor Sie es der Liste der Quellnetzwerke hinzufügen können.
   • Sie können das Netzwerk entweder mit seiner teilweisen oder vollständigen URL-Kennung hinzufügen.
   • VPC-Netzwerke, die Sie der Liste der Quellnetzwerke hinzufügen, müssen nicht miteinander verbunden sein. Jedes VPC-Netzwerk kann sich in einem beliebigen Projekt befinden.
   • Wenn ein VPC-Netzwerk gelöscht wird, nachdem es der Liste der Quellnetzwerke hinzugefügt wurde, bleibt der Verweis auf das gelöschte Netzwerk in der Liste. Cloud NGFW ignoriert gelöschte VPC-Netzwerke, wenn eine Regel für eingehenden Traffic erzwungen wird. Wenn alle VPC-Netzwerke in der Liste der Quellnetzwerke gelöscht werden, sind Regeln für eingehenden Traffic, die auf der Liste basieren, unwirksam, da sie mit keinen Paketen übereinstimmen.

2. Sie müssen mindestens einen weiteren Quellparameter angeben, mit Ausnahme einer Quelle aus einer Google Threat Intelligence-Liste oder einer Quelle für die geografische Position.

Pakete stimmen mit der Regel für eingehenden Traffic überein, wenn sie mindestens einem der anderen Quell parameter und den Kriterien für den Kontext „VPC-Netzwerke“ entsprechen.

Kriterien für den Kontext „VPC-Netzwerke“

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud NGFW ermittelt, ob ein Paket zum Kontext „VPC-Netzwerke“ gehört.

Ein Paket stimmt mit einer Regel für eingehenden Traffic überein, die den Kontext „VPC-Netzwerke“ in ihrer Quellkombination verwendet, wenn alle folgenden Bedingungen erfüllt sind:

• Das Paket stimmt mit mindestens einem der anderen Quellparameter überein.

• Das Paket wird von einer Ressource in einem der VPC-Quellnetzwerke gesendet.

• Das VPC-Quellnetzwerk und das VPC-Netzwerk, auf das die Firewallrichtlinie mit der Regel für eingehenden Traffic angewendet wird, sind dasselbe VPC-Netzwerk oder sind entweder über VPC-Netzwerk-Peering oder als VPC-Spokes in einem Network Connectivity Center-Hub verbunden.

Die folgenden Ressourcen befinden sich in einem VPC-Netzwerk:

• Netzwerkschnittstellen von VMs
• Cloud VPN-Tunnel
• Cloud Interconnect-VLAN-Anhänge
• Router-Appliances
• Envoy-Proxys in einem reinen Proxy-Subnetz
• Private Service Connect-Endpunkte
• Connectors für Serverloser VPC-Zugriff

Netzwerkkontext „VPC-intern“

Der Netzwerkkontext VPC-intern (INTRA_VPC) kann nur als Teil einer Quellkombination einer Regel für eingehenden Traffic verwendet werden. Wenn Sie den Kontext „VPC-intern“ als Teil einer Quellkombination einer Regel für eingehenden Traffic verwenden möchten, müssen Sie mindestens einen weiteren Quellparameter angeben, mit Ausnahme einer Quelle aus einer Google Threat Intelligence-Liste oder einer Quelle für die geografische Position.

Pakete stimmen mit der Regel für eingehenden Traffic überein, wenn sie mindestens einem der anderen Quell parameter und den Kriterien für den Kontext „VPC-intern“ entsprechen.

Kriterien für den Netzwerkkontext „VPC-intern“

In diesem Abschnitt werden die Kriterien beschrieben, anhand derer Cloud NGFW ermittelt, ob ein Paket zum Netzwerkkontext „VPC-intern“ gehört.

Ein Paket stimmt mit einer Regel für eingehenden Traffic überein, die den Kontext „VPC-intern“ in ihrer Quellkombination verwendet, wenn alle folgenden Bedingungen erfüllt sind:

• Das Paket stimmt mit mindestens einem der anderen Quellparameter überein.

• Das Paket wird von einer Ressource im VPC-Netzwerk gesendet, auf das die Firewallrichtlinie mit der Regel für eingehenden Traffic angewendet wird.

Die folgenden Ressourcen befinden sich in einem VPC-Netzwerk:

• Netzwerkschnittstellen von VMs
• Cloud VPN-Tunnel
• Cloud Interconnect-VLAN-Anhänge
• Router-Appliances
• Envoy-Proxys in einem reinen Proxy-Subnetz
• Private Service Connect-Endpunkte
• Connectors für Serverloser VPC-Zugriff