Comprendre les types de réseaux

Les sections suivantes décrivent comment Cloud Next Generation Firewall classe le trafic à l'aide de types de réseau. Pour en savoir plus sur les types de réseaux, consultez Types de réseaux.

Critères pour le type de réseau Internet

Cette section décrit les critères utilisés par Cloud Next Generation Firewall pour déterminer si un paquet appartient au type de réseau Internet.

Type de réseau Internet pour les paquets entrants

Les paquets d'Ingress acheminés vers une interface réseau de machine virtuelle (VM) par un Maglev Google appartiennent au type de réseau Internet. Un Maglev achemine les paquets vers une interface réseau de VM lorsque la destination du paquet correspond à l'un des éléments suivants :

• Adresse IPv4 externe régionale d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge réseau passthrough externe ou d'une règle de transfert pour le transfert de protocole externe.
• Adresse IPv6 externe régionale d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge réseau passthrough externe ou d'une règle de transfert pour le transfert de protocole externe, et le paquet n'a pas été acheminé à l'aide d'une route de sous-réseau local ou d'une route de sous-réseau importée par l'appairage de réseaux VPC ou à partir d'un VPC spoke sur un hub Network Connectivity Center.

Pour en savoir plus sur les paquets routés par Maglev vers les VM de backend pour un équilibreur de charge réseau passthrough externe ou un transfert de protocole externe, consultez Chemins d'accès pour les équilibreurs de charge réseau passthrough externes et le transfert de protocole externe.

Type de réseau Internet pour les paquets de sortie

La plupart des paquets sortants envoyés à partir d'interfaces réseau de VM, acheminés par une route statique dont le saut suivant est la passerelle Internet par défaut, appartiennent au type de réseau Internet. Toutefois, si les adresses IP de destination de ces paquets sortants concernent des API et services Google globaux, ces paquets appartiennent au type de réseau non Internet. Pour en savoir plus sur la connectivité aux API et services Google mondiaux, consultez Type de réseau non Internet.

Lorsque les paquets sont acheminés à l'aide d'une route statique dont le saut suivant est la passerelle Internet par défaut, tous les paquets envoyés par les interfaces réseau de la VM vers les destinations suivantes appartiennent au type de réseau Internet :

• Destination d'adresse IP externe en dehors du réseau Google.
• Adresse IPv4 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Adresse IPv6 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Adresse IPv4 et IPv6 externe globale de destination d'une règle de transfert d'un équilibreur de charge externe global.

Les paquets envoyés par les interfaces réseau de VM aux passerelles Cloud VPN et Cloud NAT appartiennent au type de réseau Internet :

• Les paquets de sortie envoyés depuis une interface réseau d'une VM exécutant le logiciel Cloud VPN vers l'adresse IPv4 externe régionale d'une passerelle Cloud VPN appartiennent au type de réseau Internet.
• Les paquets sortants envoyés d'une passerelle Cloud VPN à une autre n'appartiennent à aucun type de réseau, car les règles de pare-feu ne s'appliquent pas aux passerelles Cloud VPN.
• Pour Public NAT, les paquets de réponse envoyés depuis une interface réseau de VM vers une adresse IPv4 externe régionale d'une passerelle Cloud NAT appartiennent au type de réseau Internet.

Si des réseaux VPC sont connectés à l'aide de l'appairage de réseaux VPC ou s'ils participent en tant que spokes VPC sur le même hub Network Connectivity Center, les routes de sous-réseau IPv6 peuvent fournir une connectivité aux destinations d'adresses IPv6 externes régionales des interfaces réseau de VM, aux règles de transfert d'équilibreur de charge externe régional et aux règles de transfert de protocole externe. Lorsque la connectivité à ces destinations d'adresses IPv6 externes régionales est fournie à l'aide d'une route de sous-réseau, les destinations appartiennent au type de réseau non Internet.

Critères pour le type de réseau non Internet

Cette section décrit les critères utilisés par Cloud NGFW pour déterminer si un paquet appartient au type de réseau non Internet.

Type de réseau non Internet pour les paquets entrants

Les paquets Ingress appartiennent au type de réseau non Internet s'ils sont acheminés vers l'interface réseau d'une instance de VM ou vers une règle de transfert d'équilibreur de charge interne de l'une des manières suivantes :

• Les paquets sont acheminés à l'aide d'une route de sous-réseau, et les destinations des paquets correspondent à l'une des suivantes :
  • Adresse IPv4 ou IPv6 interne régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge interne ou d'une règle de transfert pour le transfert de protocole interne.
  • Adresse IPv6 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Les paquets sont acheminés à l'aide d'une route statique vers une instance de VM de saut suivant ou un équilibreur de charge réseau passthrough interne de saut suivant.
• Les paquets sont acheminés à l'aide d'une route basée sur des règles vers un équilibreur de charge réseau passthrough interne de prochain saut.
• Les paquets sont acheminés à l'aide de l'un des chemins de routage spéciaux suivants :
  • À partir d'un Google Front End de deuxième couche utilisé par un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique, un équilibreur de charge réseau proxy externe global ou un équilibreur de charge réseau proxy classique. Pour en savoir plus, consultez Chemins d'accès entre les Google Front End et les backends.
  • Source : vérificateur d'état Pour en savoir plus, consultez la section Chemins d'accès pour les vérifications d'état.
  • Depuis Identity-Aware Proxy pour le transfert TCP. Pour en savoir plus, consultez Chemins d'accès pour Identity-Aware Proxy (IAP).
  • Depuis Cloud DNS ou l'annuaire des services. Pour en savoir plus, consultez Chemins d'accès pour Cloud DNS et l'Annuaire des services.
  • Depuis l'accès au VPC sans serveur. Pour en savoir plus, consultez Chemins d'accès pour l'accès au VPC sans serveur.
  • À partir d'un point de terminaison Private Service Connect pour les API Google mondiales. Pour en savoir plus, consultez Chemins d'accès aux points de terminaison Private Service Connect pour les API Google mondiales.

Les paquets de réponse d'Ingress des API et services Google mondiaux appartiennent également au type de réseau "non-Internet". Les paquets de réponse des API et services Google mondiaux peuvent provenir des sources suivantes :

• Une adresse IP pour les domaines par défaut utilisés par les API et services Google mondiaux.
• Une adresse IP pour private.googleapis.com ou restricted.googleapis.com.
• Un point de terminaison Private Service Connect pour les API Google mondiales.

Type de réseau non Internet pour les paquets de sortie

Les paquets de sortie envoyés depuis les interfaces réseau des VM appartiennent au type de réseau non Internet s'ils sont acheminés de l'une des manières suivantes :

• Les paquets sont acheminés à l'aide d'une route de sous-réseau, et les destinations des paquets correspondent à l'une des suivantes :
  • Adresse IPv4 ou IPv6 interne régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge interne ou d'une règle de transfert pour le transfert de protocole interne.
  • Adresse IPv6 externe régionale de destination d'une interface réseau de VM, d'une règle de transfert d'un équilibreur de charge externe régional ou d'une règle de transfert pour le transfert de protocole externe.
• Les paquets sont acheminés à l'aide de routes dynamiques.
• Les paquets sont acheminés à l'aide de routes statiques qui utilisent un saut suivant qui n'est pas la passerelle Internet par défaut.
• Les paquets sont acheminés à l'aide de routes statiques qui utilisent le saut suivant de la passerelle Internet par défaut et les destinations des paquets correspondent à l'une des options suivantes :
  • Une adresse IP pour les domaines par défaut utilisés par les API et services Google mondiaux.
  • Une adresse IP pour private.googleapis.com ou restricted.googleapis.com.
• Les paquets sont acheminés à l'aide d'une route basée sur des règles vers un équilibreur de charge réseau passthrough interne de prochain saut.
• Les paquets sont acheminés à l'aide de l'un des chemins de routage spéciaux suivants :
  • Chemins entre les Google Front End de deuxième couche et les backends
  • Chemins pour les vérifications de l'état
  • Chemins d'accès pour Identity-Aware Proxy (IAP)
  • Chemins d'accès pour Cloud DNS et l'annuaire des services
  • Chemins d'accès pour l'accès au VPC sans serveur
  • Chemins d'accès aux points de terminaison Private Service Connect pour les API Google mondiales

Critères pour le type de réseau VPC

Cette section décrit les critères utilisés par Cloud NGFW pour déterminer si un paquet appartient au type de réseaux VPC.

Un paquet correspond à une règle d'entrée qui utilise le type de réseaux VPC dans sa combinaison de sources si toutes les conditions suivantes sont remplies :

• Le paquet correspond à au moins un des autres paramètres de source.

• Le paquet est envoyé par une ressource située dans l'un des réseaux VPC sources.

• Le réseau VPC source et le réseau VPC auquel s'applique la stratégie de pare-feu contenant la règle d'entrée sont le même réseau VPC, ou sont connectés à l'aide de l'appairage de réseaux VPC ou en tant que spokes VPC sur un hub Network Connectivity Center.

Les ressources suivantes se trouvent dans un réseau VPC :

• Interfaces réseau de VM
• Tunnels Cloud VPN
• Rattachements de VLAN Cloud Interconnect
• Appareils de routeur
• Proxies Envoy dans un sous-réseau proxy réservé
• Points de terminaison Private Service Connect
• Connecteurs d'accès au VPC sans serveur

Critères pour le type de réseau intra-VPC

Cette section décrit les critères utilisés par Cloud NGFW pour déterminer si un paquet appartient au type de réseau intra-VPC.

Un paquet correspond à une règle d'entrée qui utilise le type intra-VPC dans sa combinaison source si toutes les conditions suivantes sont remplies :

• Le paquet correspond à au moins un des autres paramètres de source.

• Le paquet est envoyé par une ressource située dans le réseau VPC auquel s'applique la stratégie de pare-feu contenant la règle d'entrée.

Les ressources suivantes se trouvent dans un réseau VPC :

• Interfaces réseau de VM
• Tunnels Cloud VPN
• Rattachements de VLAN Cloud Interconnect
• Appareils de routeur
• Proxies Envoy dans un sous-réseau proxy réservé
• Points de terminaison Private Service Connect
• Connecteurs d'accès au VPC sans serveur