Contextos de rede

Os contextos de rede ajudam você a atingir suas metas de segurança usando menos regras de política de firewall de maneira mais eficiente. O Cloud NGFW oferece suporte a quatro contextos de rede que podem ser usados para criar uma combinação de origem ou destino em uma regra de uma política hierárquica de firewall, de rede global ou regional.

A tabela a seguir mostra como os quatro contextos de rede podem ser usados em regras de firewall.

Contextos de rede	Tipo de destino compatível		Direção, combinação de origem ou combinação de destino compatível
	INSTANCES	INTERNAL_MANAGED_LB	Combinação de origem de uma regra de entrada	Combinação de destino de uma regra de saída
Internet (INTERNET)
Sem Internet (NON_INTERNET)
Redes VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Os contextos de rede com e sem Internet são mutuamente exclusivos. Os contextos de rede VPC e intra VPC são subconjuntos do contexto de rede não Internet.

Contexto de rede da Internet

O contexto de rede internet (INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do contexto da Internet e pelo menos um outro parâmetro de origem, exceto uma origem de tag segura. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios de contexto de rede da Internet para pacotes de entrada.

• Para uma regra de saída, especifique o destino do contexto da Internet e pelo menos um outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e critérios de contexto de rede da Internet para pacotes de saída.

Critérios para contexto de rede da Internet

Esta seção descreve os critérios que o Cloud Next Generation Firewall usa para determinar se um pacote pertence ao contexto da rede da Internet.

Contexto de rede da Internet para pacotes de entrada

Os pacotes de entrada roteados para uma interface de rede de máquina virtual (VM) por um Maglev do Google pertencem ao contexto de rede da Internet. Os pacotes são roteados por um Maglev para uma interface de rede de VM quando o destino do pacote corresponde a um dos seguintes:

• Um endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga de rede de passagem externa ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externa ou uma regra de encaminhamento para encaminhamento de protocolo externo, e o pacote não foi roteado usando uma rota de sub-rede local ou uma rota de sub-rede importada pelo peering de rede VPC ou de um spoke da VPC em um hub do NCC.

Para mais informações sobre pacotes roteados pelo Maglev para VMs de back-end em um balanceador de carga de rede de passagem externa ou encaminhamento de protocolo externo, consulte Caminhos para balanceadores de carga de rede de passagem externa e encaminhamento de protocolo externo.

Contexto de rede da Internet para pacotes de saída

A maioria dos pacotes de saída enviados das interfaces de rede da VM, roteados por uma rota estática cujo próximo salto é o gateway de Internet padrão, pertence ao contexto de rede da Internet. No entanto, se os endereços IP de destino desses pacotes de saída forem para APIs e serviços globais do Google, esses pacotes vão pertencer ao contexto de rede não relacionada à Internet. Para mais informações sobre a conectividade com APIs e serviços globais do Google, consulte Contexto de rede sem Internet.

Quando os pacotes são roteados usando uma rota estática cujo próximo salto é o gateway de Internet padrão, todos os pacotes enviados pelas interfaces de rede da VM para os seguintes destinos pertencem ao contexto da rede de Internet:

• Um destino de endereço IP externo fora da rede do Google.
• Um destino de endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um endereço IPv6 externo regional de destino de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um destino de endereço IPv4 e IPv6 externo global de uma regra de encaminhamento de um balanceador de carga externo global.

Os pacotes enviados pelas interfaces de rede da VM para os gateways do Cloud VPN e do Cloud NAT pertencem ao contexto da rede de Internet:

• Os pacotes de saída enviados de uma interface de rede de uma VM que executa o software Cloud VPN para o endereço IPv4 externo regional de um gateway do Cloud VPN pertencem ao contexto da rede de Internet.
• Os pacotes de saída enviados de um gateway do Cloud VPN para outro não pertencem a nenhum contexto de rede porque as regras de firewall não se aplicam a gateways do Cloud VPN.
• No Public NAT, os pacotes de resposta enviados de uma interface de rede de VM para um endereço IPv4 externo regional de um gateway do Cloud NAT pertencem ao contexto de rede da Internet.

Se as redes VPC estiverem conectadas usando o peering de rede VPC ou se as redes VPC participarem como hubs VPC no mesmo hub do NCC, as rotas de sub-rede IPv6 poderão fornecer conectividade a destinos de endereços IPv6 externos regionais de interfaces de rede de VM, regras de encaminhamento de balanceador de carga externo regional e regras de encaminhamento de protocolo externo. Quando a conectividade com esses destinos de endereço IPv6 externo regional é fornecida usando uma rota de sub-rede, os destinos estão no contexto de rede não Internet.

Contexto de rede sem Internet

O contexto de rede não relacionada à Internet (NON-INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do contexto não relacionada à Internet e pelo menos um parâmetro de origem, exceto geolocalizações seguras ou uma lista do Google Threat Intelligence de origem. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios de contexto de rede não relacionados à Internet para pacotes de entrada.

• Para uma regra de saída, especifique o destino de contexto não relacionado à Internet e pelo menos um outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e critérios de contexto de rede não relacionados à Internet para pacotes de saída.

Critérios para contexto de rede sem Internet

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao contexto de rede não relacionada à Internet.

Contexto de rede não relacionada à Internet para pacotes de entrada

Os pacotes de entrada pertencem ao contexto de rede não relacionada à Internet se forem roteados para a interface de rede de uma instância de VM ou para uma regra de encaminhamento de balanceador de carga interno de uma das seguintes maneiras:

• Os pacotes são roteados usando uma rota de sub-rede, e os destinos de pacote correspondem a um dos seguintes:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
  • Um endereço IPv6 externo regional de destino de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Os pacotes são roteados usando uma rota estática para uma instância de VM de próximo salto ou um balanceador de carga de rede de passagem interna de próximo salto.
• Os pacotes são roteados usando uma rota com base em políticas para um balanceador de carga de rede de passagem interna de próximo salto.
• Os pacotes são roteados usando um dos seguintes caminhos de roteamento especiais:
  • De um Google Front End de segunda camada usado por um balanceador de carga de aplicativo externo global, balanceador de carga de aplicativo clássico, balanceador de carga de rede de proxy externo global ou balanceador de carga de rede de proxy clássico. Para mais informações, consulte Caminhos entre o Google Front Ends e os back-ends.
  • De uma sondagem de verificação de integridade. Para mais informações, consulte Caminhos para verificações de integridade.
  • Do Identity-Aware Proxy para encaminhamento de TCP. Para mais informações, consulte Caminhos para o Identity-Aware Proxy (IAP).
  • Do Cloud DNS ou do Diretório de Serviços. Para mais informações, consulte Caminhos para o Cloud DNS e o Service Directory.
  • No acesso VPC sem servidor. Para mais informações, consulte Caminhos para acesso VPC sem servidor.
  • De um endpoint do Private Service Connect para APIs globais do Google. Para mais informações, consulte Caminhos para endpoints do Private Service Connect para APIs globais do Google.

Pacotes de resposta de entrada de APIs e serviços globais do Google também pertencem ao contexto de rede não relacionada à Internet. Os pacotes de resposta das APIs e dos serviços globais do Google podem ter qualquer uma das seguintes fontes:

• Um endereço IP para os domínios padrão usados pelas APIs e serviços globais do Google.
• Um endereço IP de private.googleapis.com ou restricted.googleapis.com.
• Um endpoint do Private Service Connect para APIs globais do Google.

Contexto de rede não relacionada à Internet para pacotes de saída

Os pacotes de saída enviados das interfaces de rede da VM pertencem ao contexto de rede não relacionada à Internet se forem roteados de uma das seguintes maneiras:

• Os pacotes são roteados usando uma rota de sub-rede, e os destinos de pacote correspondem a um dos seguintes:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
  • Um endereço IPv6 externo regional de destino de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Os pacotes são roteados usando rotas dinâmicas.
• Os pacotes são encaminhados usando rotas estáticas que usam um próximo salto que não é o gateway de Internet padrão.
• Os pacotes são roteados usando rotas estáticas que usam o próximo salto do gateway de Internet padrão e os destinos dos pacotes correspondem a um dos seguintes:
  • Um endereço IP para os domínios padrão usados pelas APIs e serviços globais do Google.
  • Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
• Os pacotes são roteados usando uma rota com base em políticas para um balanceador de carga de rede de passagem interna de próximo salto.
• Os pacotes são roteados usando um dos seguintes caminhos de roteamento especiais:
  • Caminhos entre o Google Front Ends de segunda camada e os back-ends
  • Caminhos para verificações de integridade
  • Caminhos para o Identity-Aware Proxy (IAP)
  • Caminhos para o Cloud DNS e o Service Directory
  • Caminhos para acesso VPC sem servidor
  • Caminhos para endpoints do Private Service Connect para APIs globais do Google

Contexto das redes VPC

O contexto de rede redes VPC (VPC_NETWORKS) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Para usar o contexto das redes VPC como parte de uma combinação de origem de uma regra de entrada, faça o seguinte:

1. É necessário especificar uma lista de redes VPC de origem:

   • A lista de redes de origem precisa ter pelo menos uma rede VPC. É possível adicionar no máximo 250 redes VPC à lista de redes de origem.
   • Uma rede VPC precisa existir antes de ser adicionada à lista de redes de origem.
   • É possível adicionar a rede usando o identificador de URL parcial ou completo dela.
   • As redes VPC adicionadas à lista de redes de origem não precisam estar conectadas umas às outras. Cada rede VPC pode estar localizada em qualquer projeto.
   • Se uma rede VPC for excluída depois de ser adicionada à lista de redes de origem, a referência à rede excluída vai permanecer na lista. O Cloud NGFW ignora as redes VPC excluídas ao aplicar uma regra de entrada. Se todas as redes VPC na lista de redes de origem forem excluídas, as regras de entrada que dependem da lista não serão eficazes porque não corresponderão a nenhum pacote.

2. É necessário especificar pelo menos outro parâmetro de origem, exceto uma origem de lista do Google Threat Intelligence a ou uma origem de geolocalização .

Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios para o contexto de redes VPC.

Critérios para o contexto de redes VPC

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao contexto das redes VPC.

Um pacote corresponde a uma regra de entrada que usa o contexto das redes VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

• O pacote corresponde a pelo menos um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado em uma das redes VPC de origem.

• A rede VPC de origem e a rede VPC a que a política de firewall que contém a regra de entrada se aplica são a mesma rede VPC ou estão conectadas usando peering de rede VPC ou como spokes VPC em um hub do Network Connectivity Center.

Os seguintes recursos estão localizados em uma rede VPC:

• Interfaces de rede da VM
• Túneis do Cloud VPN
• Anexos da VLAN do Cloud Interconnect
• Dispositivos de roteador
• Proxies do Envoy em uma sub-rede somente proxy
• Endpoints do Private Service Connect
• Conectores de acesso VPC sem servidor

Contexto de rede intra-VPC

O contexto de rede intra-VPC (INTRA_VPC) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Para usar o contexto de redes intra-VPC como parte de uma combinação de origem de uma regra de entrada, especifique pelo menos outro parâmetro de origem, exceto uma origem de lista de inteligência de ameaças do Google ou uma origem de geolocalização .

Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios para contexto de redes intra-VPC.

Critérios para contexto de rede intra VPC

Nesta seção, descrevemos os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao contexto de rede intra-VPC.

Um pacote corresponde a uma regra de entrada que usa o contexto intra-VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

• O pacote corresponde a pelo menos um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado na rede VPC a que a política de firewall que contém a regra de entrada se aplica.

Os seguintes recursos estão localizados em uma rede VPC:

• Interfaces de rede da VM
• Túneis do Cloud VPN
• Anexos da VLAN do Cloud Interconnect
• Dispositivos de roteador
• Proxies do Envoy em uma sub-rede somente proxy
• Endpoints do Private Service Connect
• Conectores de acesso VPC sem servidor