Contextos de red

Los contextos de red te ayudan a cumplir tus objetivos de seguridad mediante el uso de menos reglas de políticas de firewall de manera más eficiente. Cloud NGFW admite cuatro contextos de red que se pueden usar para crear una combinación de origen o una combinación de destino en una regla de una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional.

En la siguiente tabla, se muestra cómo se pueden usar los cuatro contextos de red en las reglas de firewall.

Contextos de red	Tipo de destino admitido		Dirección, combinación de origen o combinación de destino admitidas
	INSTANCES	INTERNAL_MANAGED_LB	Combinación de origen de una regla de entrada	Combinación de destino de una regla de salida
Internet (INTERNET)
Fuera de Internet (NON_INTERNET)
Redes de VPC (VPC_NETWORKS)
Dentro de la VPC (INTRA_VPC)

Los contextos de red de Internet y fuera de Internet son mutuamente excluyentes. Los contextos de red de VPC y dentro de la VPC son subconjuntos del contexto de red fuera de Internet.

Contexto de red de Internet

El contexto de red de Internet (INTERNET) se puede usar como parte de una combinación de origen de una regla de entrada o como parte de una combinación de destino de una regla de salida:

• Para una regla de entrada, especifica el origen del contexto de Internet y al menos otro parámetro de origen, excepto un origen de etiqueta segura. Los paquetes coinciden con la regla de entrada si coinciden con al menos uno de los otros parámetros de origen y los criterios del contexto de red de Internet para los paquetes de entrada.

• Para una regla de salida, especifica el destino del contexto de Internet y al menos otro parámetro de destino. Los paquetes coinciden con la regla de salida si coinciden con al menos uno de los otros parámetros de destino y los criterios del contexto de red de Internet para los paquetes de salida.

Criterios para el contexto de red de Internet

En esta sección, se describen los criterios que usa Cloud Next Generation Firewall para determinar si un paquete pertenece al contexto de red de Internet.

Contexto de red de Internet para paquetes de entrada

Los paquetes de entrada enrutados a una interfaz de red de máquina virtual (VM) por un Google Maglev pertenecen al contexto de red de Internet. Un Maglev enruta los paquetes a una interfaz de red de VM cuando el destino del paquete coincide con uno de los siguientes:

• Una dirección IPv4 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas de red de transferencia externo o una regla de reenvío para el reenvío de protocolos externos
• Una dirección IPv6 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas de red de transferencia externo o una regla de reenvío para el reenvío de protocolos externos y el paquete no se enrutó con una ruta de subred local o una ruta de subred que se importó mediante el intercambio de tráfico entre redes de VPC o desde un radio de VPC en un concentrador de NCC

Para obtener más información sobre los paquetes enrutados por Maglev a las VMs de backend para un balanceador de cargas de red de transferencia externo o el reenvío de protocolos externos, consulta Rutas para balanceadores de cargas de red de transferencia externos y reenvío de protocolos externos.

Contexto de red de Internet para paquetes de salida

La mayoría de los paquetes de salida enviados desde interfaces de red de VM, enrutados por una ruta estática cuyo próximo salto es la puerta de enlace de Internet predeterminada, pertenecen al contexto de red de Internet. Sin embargo, si las direcciones IP de destino de estos paquetes de salida son para los servicios y las APIs de Google globales, estos paquetes pertenecen al contexto de red fuera de Internet. Para obtener más información sobre la conectividad a los servicios y las APIs de Google globales, consulta Contexto de red fuera de Internet.

Cuando los paquetes se enrutan con una ruta estática cuyo próximo salto es la puerta de enlace de Internet predeterminada, cualquier paquete que envíen las interfaces de red de VM a los siguientes destinos pertenece al contexto de red de Internet:

• Un destino de dirección IP externa fuera de la red de Google
• Un destino de dirección IPv4 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas externo regional o una regla de reenvío para el reenvío de protocolos externos
• Un destino de dirección IPv6 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas externo regional o una regla de reenvío para el reenvío de protocolos externos
• Un destino de dirección IPv4 e IPv6 externa global de una regla de reenvío de un balanceador de cargas externo global

Los paquetes que envían las interfaces de red de VM a las puertas de enlace de Cloud VPN y Cloud NAT pertenecen al contexto de red de Internet:

• Los paquetes de salida enviados desde una interfaz de red de una VM que ejecuta el software de Cloud VPN a una dirección IPv4 externa regional de una puerta de enlace de Cloud VPN pertenecen al contexto de red de Internet.
• Los paquetes de salida enviados de una puerta de enlace de Cloud VPN a otra no pertenecen a ningún contexto de red porque las reglas de firewall no se aplican a las puertas de enlace de Cloud VPN.
• Para NAT pública, los paquetes de respuesta enviados desde una interfaz de red de VM a una dirección IPv4 externa regional de una puerta de enlace de Cloud NAT pertenecen al contexto de red de Internet.

Si las redes de VPC están conectadas mediante el intercambio de tráfico entre redes de VPC o si participan como radios de VPC en el mismo concentrador de NCC, las rutas de subred IPv6 pueden proporcionar conectividad a destinos de direcciones IPv6 externas regionales de interfaces de red de VM, reglas de reenvío de balanceador de cargas externos regionales y reglas de reenvío de protocolos externos. Cuando la conectividad a esos destinos de direcciones IPv6 externas regionales se proporciona con una ruta de subred, los destinos se encuentran en el contexto de red fuera de Internet.

Contexto de red fuera de Internet

El contexto de red fuera de Internet (NON-INTERNET) se puede usar como parte de una combinación de origen de una regla de entrada o como parte de una combinación de destino de una regla de salida:

• Para una regla de entrada, especifica el origen del contexto fuera de Internet y al menos otro parámetro de origen, excepto un origen de lista de Google Threat Intelligence o un origen de geolocalización. Los paquetes coinciden con la regla de entrada si coinciden con at least one of the other source parameters and non-internet network context criteria for ingress packets.

• Para una regla de salida, especifica el destino del contexto fuera de Internet y al menos otro parámetro de destino. Los paquetes coinciden con la regla de salida si coinciden con al menos uno de los otros parámetros de destino y los criterios del contexto de red fuera de Internet para los paquetes de salida.

Criterios para el contexto de red fuera de Internet

En esta sección, se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al contexto de red fuera de Internet.

Contexto de red fuera de Internet para paquetes de entrada

Los paquetes de entrada pertenecen al contexto de red fuera de Internet si se enrutan a la interfaz de red de una instancia de VM o a una regla de reenvío de balanceador de cargas interno de una de las siguientes maneras:

• Los paquetes se enrutan con una ruta de subred, y los destinos de los paquetes coinciden con uno de los siguientes:
  • Un destino de dirección IPv4 o IPv6 interna regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas interno o una regla de reenvío para el reenvío de protocolos internos
  • Un destino de dirección IPv6 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas externo regional o una regla de reenvío para el reenvío de protocolos externos
• Los paquetes se enrutan con una ruta estática a una instancia de VM de próximo salto o a un balanceador de cargas de red de transferencia interno de próximo salto.
• Los paquetes se enrutan con una ruta basada en políticas a un balanceador de cargas de red de transferencia interno de próximo salto.
• Los paquetes se enrutan con una de las siguientes rutas de acceso de enrutamiento especiales:
  • Desde un Google Front End de segunda capa que usa un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones clásico, un balanceador de cargas de red de proxy externo global o un balanceador de cargas de red de proxy clásico (para obtener más información, consulta Rutas entre Google Front Ends y backends)
  • Desde un verificador de estado (para obtener más información, consulta Rutas de las verificaciones de estado)
  • Desde Identity-Aware Proxy para el reenvío de TCP (para obtener más información, consulta Rutas de Identity-Aware Proxy (IAP))
  • Desde Cloud DNS o el Directorio de servicios (para obtener más información, consulta Rutas de Cloud DNS y el Directorio de servicios)
  • Desde el Acceso a VPC sin servidores (para obtener más información, consulta Rutas de Acceso a VPC sin servidores)
  • Desde un extremo de Private Service Connect para las APIs de Google globales (para obtener más información, consulta Rutas para los extremos de Private Service Connect de las APIs de Google globales)

Los paquetes de respuesta de entrada de los servicios y las APIs de Google globales también pertenecen al contexto de red fuera de Internet. Los paquetes de respuesta de los servicios y las APIs de Google globales pueden tener cualquiera de los siguientes orígenes:

• Una dirección IP para los dominios predeterminados que usan los servicios y las APIs de Google globales
• Una dirección IP para private.googleapis.com o restricted.googleapis.com.
• Un extremo de Private Service Connect para las APIs de Google globales.

Contexto de red fuera de Internet para paquetes de salida

Los paquetes de salida enviados desde interfaces de red de VM pertenecen al contexto de red fuera de Internet si se enrutan de una de las siguientes maneras:

• Los paquetes se enrutan con una ruta de subred, y los destinos de los paquetes coinciden con uno de los siguientes:
  • Un destino de dirección IPv4 o IPv6 interna regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas interno o una regla de reenvío para el reenvío de protocolos internos
  • Un destino de dirección IPv6 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas externo regional o una regla de reenvío para el reenvío de protocolos externos
• Los paquetes se enrutan con rutas dinámicas.
• Los paquetes se enrutan con rutas estáticas que usan un próximo salto que no es la puerta de enlace de Internet predeterminada.
• Los paquetes se enrutan con rutas estáticas que usan el próximo salto de la puerta de enlace de Internet predeterminada y los destinos de los paquetes coinciden con uno de los siguientes:
  • Una dirección IP para los dominios predeterminados que usan los servicios y las APIs de Google globales
  • Una dirección IP para private.googleapis.com o restricted.googleapis.com.
• Los paquetes se enrutan con una ruta basada en políticas a un balanceador de cargas de red de transferencia interno de próximo salto.
• Los paquetes se enrutan con una de las siguientes rutas de acceso de enrutamiento especiales:
  • Rutas entre Google Front Ends de segunda capa y backends
  • Rutas de las verificaciones de estado
  • Rutas de Identity-Aware Proxy (IAP)
  • Rutas de Cloud DNS y el Directorio de servicios
  • Rutas de Acceso a VPC sin servidores
  • Rutas para los extremos de Private Service Connect de las APIs de Google globales

Contexto de redes de VPC

El contexto de red de redes de VPC (VPC_NETWORKS) solo se puede usar como parte de una combinación de origen de una regla de entrada. Para usar el contexto de redes de VPC como parte de una combinación de origen de una regla de entrada, haz lo siguiente:

1. Debes especificar una lista de redes de VPC de origen:

   • La lista de redes de origen debe contener al menos una red de VPC. Puedes agregar un máximo de 250 redes de VPC a la lista de redes de origen.
   • Una red de VPC debe existir antes de que puedas agregarla a la lista de redes de origen.
   • Puedes agregar la red con su identificador de URL parcial o completo.
   • Las redes de VPC que agregas a la lista de redes de origen no necesitan estar conectadas entre sí. Cada red de VPC puede ubicarse en cualquier proyecto.
   • Si se borra una red de VPC después de agregarla a la lista de redes de origen, la referencia a la red borrada permanece en la lista. Cloud NGFW ignora las redes de VPC borradas cuando aplica una regla de entrada. Si se borran todas las redes de VPC en la lista de redes de origen, las reglas de entrada que dependen de la lista no son efectivas porque no coinciden con ningún paquete.

2. Debes especificar al menos otro parámetro de origen, excepto un origen de lista de Google Threat Intelligence o origen de geolocalización.

Los paquetes coinciden con la regla de entrada si coinciden con al menos uno de los otros parámetros de origen y criterios para el contexto de redes de VPC.

Criterios para el contexto de redes de VPC

En esta sección, se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al contexto de redes de VPC.

Un paquete coincide con una regla de entrada que usa el contexto de redes de VPC en su combinación de origen si se cumplen todas las siguientes condiciones:

• El paquete coincide con al menos uno de los otros parámetros de origen.

• El paquete lo envía un recurso ubicado en una de las redes de VPC de origen.

• La red de VPC de origen y la red de VPC a la que se aplica la política de firewall que contiene la regla de entrada son la misma red de VPC o están conectadas mediante el intercambio de tráfico entre redes de VPC o como radios de VPC en un concentrador de Network Connectivity Center.

Los siguientes recursos se encuentran en una red de VPC:

• Interfaces de red de VM
• Túneles de Cloud VPN
• Adjuntos de VLAN de Cloud Interconnect
• Dispositivos del router
• Proxies de Envoy en una subred de solo proxy
• Extremos de Private Service Connect
• Conectores de Acceso a VPC sin servidores

Contexto de red dentro de la VPC

El contexto de red de redes dentro de la VPC (INTRA_VPC) solo se puede usar como parte de una combinación de origen de una regla de entrada. Para usar el contexto de redes dentro de la VPC como parte de una combinación de origen de una regla de entrada, debes especificar al menos otro parámetro de origen, excepto un origen de lista de Google Threat Intelligence o un origen de geolocalización.

Los paquetes coinciden con la regla de entrada si coinciden con al menos uno de los otros parámetros de origen y criterios para el contexto de redes dentro de la VPC.

Criterios para el contexto de red dentro de la VPC

En esta sección, se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al contexto de red dentro de la VPC.

Un paquete coincide con una regla de entrada que usa el contexto dentro de la VPC en su combinación de origen si se cumplen todas las siguientes condiciones:

• El paquete coincide con al menos uno de los otros parámetros de origen.

• El paquete lo envía un recurso ubicado en la red de VPC a la que se aplica la política de firewall que contiene la regla de entrada.

Los siguientes recursos se encuentran en una red de VPC:

• Interfaces de red de VM
• Túneles de Cloud VPN
• Adjuntos de VLAN de Cloud Interconnect
• Dispositivos del router
• Proxies de Envoy en una subred de solo proxy
• Extremos de Private Service Connect
• Conectores de Acceso a VPC sin servidores