Contextos de rede

Os contextos de rede ajudam você a atingir suas metas de segurança usando menos regras de política de firewall de maneira mais eficiente. O Cloud NGFW oferece suporte a quatro contextos de rede que podem ser usados para criar uma combinação de origem ou destino em uma regra de uma política hierárquica de firewall, uma política de firewall de rede global ou uma política de firewall de rede regional.

A tabela a seguir mostra como os quatro contextos de rede podem ser usados em regras de firewall.

Contextos de rede	Tipo de destino compatível		Direção, combinação de origem ou combinação de destino compatível
	INSTANCES	INTERNAL_MANAGED_LB	Combinação de origem de uma regra de entrada	Combinação de destino de uma regra de saída
Internet (INTERNET)
Não Internet (NON_INTERNET)
Redes VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Os contextos de rede da Internet e não Internet são mutuamente exclusivos. Os contextos de rede VPC e intra-VPC são subconjuntos do contexto de rede não Internet.

Contexto de rede da Internet

O contexto de rede Internet (INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do contexto da Internet e pelo menos outro parâmetro de origem, exceto uma origem de tag segura. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e aos critérios de contexto de rede da Internet para pacotes de entrada.

• Para uma regra de saída, especifique o destino do contexto da Internet e pelo menos outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e aos critérios de contexto de rede da Internet para pacotes de saída.

Critérios para contexto de rede da Internet

Esta seção descreve os critérios que o Cloud Next Generation Firewall usa para determinar se um pacote pertence ao contexto de rede da Internet.

Contexto de rede da Internet para pacotes de entrada

Os pacotes de entrada roteados para uma interface de rede de máquina virtual (VM) por um Google Maglev pertencem ao contexto de rede da Internet. Os pacotes são roteados por um Maglev para uma interface de rede de VM quando o destino do pacote corresponde a um dos seguintes:

• Um endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga de rede de passagem externa ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga de rede de passagem externa ou regra de encaminhamento para encaminhamento de protocolo externo e o pacote não foi roteado usando uma rota de sub-rede local ou uma rota de sub-rede importada pelo peering de rede VPC ou de um spoke de VPC em um hub do NCC.

Para mais informações sobre pacotes roteados pelo Maglev para VMs de back-end para um balanceador de carga de rede de passagem externa ou encaminhamento de protocolo externo, consulte Caminhos para balanceadores de carga de rede de passagem externa e encaminhamento de protocolo externo.

Contexto de rede da Internet para pacotes de saída

A maioria dos pacotes de saída enviados de interfaces de rede de VM, roteados por uma rota estática cujo próximo salto é o gateway de Internet padrão, pertence ao contexto de rede da Internet. No entanto, se os endereços IP de destino desses pacotes de saída forem para APIs e serviços globais do Google, esses pacotes pertencerão ao contexto de rede não Internet. Para mais informações sobre a conectividade com APIs e serviços globais do Google, consulte Contexto de rede não Internet.

Quando os pacotes são roteados usando uma rota estática cujo próximo salto é o gateway de Internet padrão, todos os pacotes enviados pelas interfaces de rede de VM para os seguintes destinos pertencem ao contexto de rede da Internet:

• Um destino de endereço IP externo fora da rede do Google.
• Um destino de endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Um destino de endereço IPv4 e IPv6 externo global de uma regra de encaminhamento de um balanceador de carga externo global.

Os pacotes enviados pelas interfaces de rede de VM para gateways do Cloud VPN e do Cloud NAT pertencem ao contexto de rede da Internet:

• Os pacotes de saída enviados de uma interface de rede de uma VM que executa o software do Cloud VPN para um endereço IPv4 externo regional de um gateway do Cloud VPN pertencem ao contexto de rede da Internet.
• Os pacotes de saída enviados de um gateway do Cloud VPN para outro não pertencem a nenhum contexto de rede porque as regras de firewall não se aplicam a gateways do Cloud VPN.
• Para o Public NAT, os pacotes de resposta enviados de uma interface de rede de VM para um endereço IPv4 externo regional de um gateway do Cloud NAT pertencem ao contexto de rede da internet.

Se as redes VPC estiverem conectadas usando o peering de rede VPC ou se as redes VPC participarem como spokes de VPC no mesmo hub do NCC, as rotas de sub-rede IPv6 poderão fornecer conectividade a destinos de endereço IPv6 externo regional de interfaces de rede de VM, regras de encaminhamento de balanceador de carga externo regional e regras de encaminhamento de protocolo externo. Quando a conectividade com esses destinos de endereço IPv6 externo regional é fornecida usando uma rota de sub-rede, os destinos estão no contexto de rede não Internet.

Contexto de rede não Internet

O contexto de rede não Internet (NON-INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do contexto não Internet e pelo menos um outro parâmetro de origem, exceto uma origem de lista do Google Threat Intelligence ou origem de geolocalização. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e aos critérios de contexto de rede não Internet para pacotes de entrada.

• Para uma regra de saída, especifique o destino do contexto não Internet e pelo menos outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e não Internet aos critérios de contexto de rede para pacotes de saída.

Critérios para contexto de rede não Internet

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao contexto de rede não Internet.

Contexto de rede não Internet para pacotes de entrada

Os pacotes de entrada pertencem ao contexto de rede não Internet se forem roteados para a interface de rede de uma instância de VM ou para uma regra de encaminhamento de balanceador de carga interno de uma das seguintes maneiras:

• Os pacotes são roteados usando uma rota de sub-rede, e os destinos de pacote correspondem a um dos seguintes:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
  • Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Os pacotes são roteados usando uma rota estática para uma instância de VM de próximo salto ou um balanceador de carga de rede de passagem interna de próximo salto.
• Os pacotes são roteados usando uma rota baseada em política para um balanceador de carga de rede de passagem interna de próximo salto.
• Os pacotes são roteados usando um dos seguintes caminhos de roteamento especiais:
  • De um Google Front End de segunda camada usado por um balanceador de carga de aplicativo externo global, balanceador de carga de aplicativo clássico, balanceador de carga de rede de proxy externo global ou balanceador de carga de rede de proxy clássico. Para mais informações, consulte Caminhos entre o Google Front Ends e os back-ends.
  • De um verificador de integridade. Para mais informações, consulte Caminhos para verificações de integridade.
  • Do Identity-Aware Proxy para encaminhamento de TCP. Para mais informações, consulte Caminhos para o Identity-Aware Proxy (IAP).
  • Do Cloud DNS ou do Diretório de Serviços. Para mais informações, consulte Caminhos para o Cloud DNS e o Diretório de Serviços.
  • Do acesso VPC sem servidor. Para mais informações, consulte Caminhos para acesso VPC sem servidor.
  • De um endpoint do Private Service Connect para APIs globais do Google. Para mais informações, consulte Caminhos para endpoints do Private Service Connect para APIs globais do Google.

Os pacotes de resposta de entrada de APIs e serviços globais do Google também pertencem ao contexto de rede não Internet. Os pacotes de resposta de APIs e serviços globais do Google podem ter qualquer uma das seguintes origens:

• Um endereço IP para os domínios padrão usados por APIs e serviços globais do Google.
• Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
• Um endpoint do Private Service Connect para APIs globais do Google.

Contexto de rede não Internet para pacotes de saída

Os pacotes de saída enviados de interfaces de rede de VM pertencem ao contexto de rede não Internet se forem roteados de uma das seguintes maneiras:

• Os pacotes são roteados usando uma rota de sub-rede, e os destinos de pacote correspondem a um dos seguintes:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
  • Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
• Os pacotes são roteados usando rotas dinâmicas.
• Os pacotes são roteados usando rotas estáticas que usam um próximo salto que não é o gateway de Internet padrão.
• Os pacotes são roteados usando rotas estáticas que usam o próximo salto de gateway de Internet padrão e os destinos de pacote correspondem a um dos seguintes:
  • Um endereço IP para os domínios padrão usados por APIs e serviços globais do Google.
  • Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
• Os pacotes são roteados usando uma rota baseada em política para um balanceador de carga de rede de passagem interna de próximo salto.
• Os pacotes são roteados usando um dos seguintes caminhos de roteamento especiais:
  • Caminhos entre o Google Front Ends de segunda camada e os back-ends
  • Caminhos para verificações de integridade
  • Caminhos para o Identity-Aware Proxy (IAP)
  • Caminhos para o Cloud DNS e o Diretório de Serviços
  • Caminhos para acesso VPC sem servidor
  • Caminhos para endpoints do Private Service Connect para APIs globais do Google

Contexto de redes VPC

O contexto de rede redes VPC (VPC_NETWORKS) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Para usar o contexto de redes VPC como parte de uma combinação de origem de uma regra de entrada, faça o seguinte:

1. É necessário especificar uma lista de redes VPC de origem:

   • A lista de redes de origem precisa conter pelo menos uma rede VPC. É possível adicionar um máximo de 250 redes VPC à lista de redes de origem.
   • Uma rede VPC precisa existir antes de ser adicionada à lista de redes de origem.
   • É possível adicionar a rede usando o identificador de URL parcial ou completo.
   • As redes VPC adicionadas à lista de redes de origem não precisam estar conectadas umas às outras. Cada rede VPC pode estar localizada em qualquer projeto.
   • Se uma rede VPC for excluída depois de ser adicionada à lista de redes de origem, a referência à rede excluída permanecerá na lista. O Cloud NGFW ignora as redes VPC excluídas ao aplicar uma regra de entrada. Se todas as redes VPC na lista de redes de origem forem excluídas, as regras de entrada que dependem da lista serão ineficazes porque não correspondem a nenhum pacote.

2. É necessário especificar pelo menos outro parâmetro de origem, exceto uma origem de lista do Google Threat Intelligence ou origem de geolocalização.

Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e aos critérios de contexto de redes VPC.

Critérios para contexto de redes VPC

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao contexto de redes VPC.

Um pacote corresponde a uma regra de entrada que usa o contexto de redes VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

• O pacote corresponde a pelo menos um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado em uma das redes VPC de origem.

• A rede VPC de origem e a rede VPC à qual a política de firewall que contém a regra de entrada se aplica são a mesma rede VPC ou estão conectadas usando o peering de rede VPC ou como spokes de VPC em um hub do Network Connectivity Center.

Os recursos a seguir estão localizados em uma rede VPC:

• Interfaces de rede de VM
• Túneis do Cloud VPN
• Anexos da VLAN do Cloud Interconnect
• Dispositivos de roteador
• Proxies do Envoy em uma sub-rede somente de proxy
• Endpoints do Private Service Connect
• Conectores de acesso VPC sem servidor

Contexto de rede intra-VPC

O contexto de rede intra-VPC (INTRA_VPC) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Para usar o contexto de redes intra-VPC como parte de uma combinação de origem de uma regra de entrada, é necessário especificar pelo menos outro parâmetro de origem, exceto uma origem de lista do Google Threat Intelligence ou origem de geolocalização.

Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e aos critérios de contexto de redes intra-VPC.

Critérios para contexto de rede intra-VPC

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao contexto de rede intra-VPC.

Um pacote corresponde a uma regra de entrada que usa o contexto intra-VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

• O pacote corresponde a pelo menos um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado na rede VPC à qual a política de firewall que contém a regra de entrada se aplica.

Os recursos a seguir estão localizados em uma rede VPC:

• Interfaces de rede de VM
• Túneis do Cloud VPN
• Anexos da VLAN do Cloud Interconnect
• Dispositivos de roteador
• Proxies do Envoy em uma sub-rede somente de proxy
• Endpoints do Private Service Connect
• Conectores de acesso VPC sem servidor