Tipos de redes

En las siguientes secciones se describe cómo clasifica el tráfico Cloud Next Generation Firewall mediante tipos de red. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.

Criterios para el tipo de red de Internet

En esta sección se describen los criterios que usa Cloud Next Generation Firewall para determinar si un paquete pertenece al tipo de red de Internet.

Tipo de red de Internet para paquetes de entrada

Los paquetes de entrada enrutados a una interfaz de red de una máquina virtual (VM) por un Maglev de Google pertenecen al tipo de red de Internet. Maglev enruta los paquetes a una interfaz de red de una VM cuando el destino del paquete coincide con uno de los siguientes:

• Una dirección IPv4 externa regional de una interfaz de red de una VM, una regla de reenvío de un balanceador de carga de red de paso a través externo o una regla de reenvío de protocolo externo.
• Una dirección IPv6 externa regional de una interfaz de red de una máquina virtual, una regla de reenvío de un balanceador de carga de red de paso a través externo o una regla de reenvío de un protocolo externo, y el paquete no se ha enrutado mediante una ruta de subred local o una ruta de subred que se haya importado mediante el emparejamiento entre redes de VPC o desde una VPC de radio en un centro de conectividad de red.

Para obtener más información sobre los paquetes que Maglev enruta a las VMs de backend de un balanceador de carga de red de paso a través externo o de un reenvío de protocolo externo, consulta Rutas de los balanceadores de carga de red de paso a través externos y del reenvío de protocolo externo.

Tipo de red de Internet para paquetes de salida

La mayoría de los paquetes de salida enviados desde interfaces de red de VMs, enrutados por una ruta estática cuyo siguiente salto es la pasarela de Internet predeterminada, pertenecen al tipo de red de Internet. Sin embargo, si las direcciones IP de destino de estos paquetes de salida son de APIs y servicios de Google globales, estos paquetes pertenecen al tipo de red que no es de Internet. Para obtener más información sobre la conectividad con APIs y servicios de Google globales, consulta el artículo sobre el tipo de red sin Internet.

Cuando los paquetes se enrutan mediante una ruta estática cuyo siguiente salto es la pasarela de Internet predeterminada, los paquetes que envían las interfaces de red de la VM a los siguientes destinos pertenecen al tipo de red de Internet:

• Un destino de dirección IP externa fuera de la red de Google.
• Una dirección IPv4 externa regional de una interfaz de red de una máquina virtual, una regla de reenvío de un balanceador de carga externo regional o una regla de reenvío de un reenvío de protocolo externo.
• Una dirección IPv6 externa regional de una interfaz de red de una VM, una regla de reenvío de un balanceador de carga externo regional o una regla de reenvío de protocolo externo.
• Dirección IPv4 e IPv6 externa global de destino de una regla de reenvío de un balanceador de carga externo global.

Los paquetes que envían las interfaces de red de la VM a las pasarelas de Cloud VPN y Cloud NAT pertenecen al tipo de red de Internet:

• Los paquetes de salida enviados desde una interfaz de red de una VM que ejecuta software de Cloud VPN a la dirección IPv4 externa regional de una pasarela de Cloud VPN pertenecen al tipo de red de Internet.
• Los paquetes de salida enviados de una pasarela de Cloud VPN a otra no pertenecen a ningún tipo de red, ya que las reglas de firewall no se aplican a las pasarelas de Cloud VPN.
• En el caso de la NAT pública, los paquetes de respuesta enviados desde una interfaz de red de una VM a la dirección IPv4 externa regional de una pasarela de Cloud NAT pertenecen al tipo de red de Internet.

Si las redes de VPC están conectadas mediante el emparejamiento entre redes de VPC o si participan como radios de VPC en el mismo hub de Network Connectivity Center, las rutas de subred IPv6 pueden proporcionar conectividad a los destinos de direcciones IPv6 externas regionales de las interfaces de red de las máquinas virtuales, las reglas de reenvío de balanceadores de carga externos regionales y las reglas de reenvío de protocolos externos. Cuando se proporciona la conectividad a esos destinos de direcciones IPv6 externas regionales mediante una ruta de subred, los destinos se encuentran en el tipo de red no de Internet.

Criterios para el tipo de red que no es de Internet

En esta sección se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al tipo de red que no es de Internet.

Tipo de red no de Internet para paquetes de entrada

Los paquetes de entrada pertenecen al tipo de red no de Internet si se enrutan a la interfaz de red de una instancia de VM o a una regla de reenvío de un balanceador de carga interno de una de las siguientes formas:

• Los paquetes se enrutan mediante una ruta de subred y los destinos de los paquetes coinciden con uno de los siguientes:
  • Dirección IPv4 o IPv6 interna regional de un interfaz de red de una máquina virtual, una regla de reenvío de un balanceador de carga interno o una regla de reenvío de un protocolo interno.
  • Una dirección IPv6 externa regional de una interfaz de red de una VM, una regla de reenvío de un balanceador de carga externo regional o una regla de reenvío de protocolo externo.
• Los paquetes se enrutan mediante una ruta estática a una instancia de VM del siguiente salto o a un balanceador de carga de red interno de transferencia del siguiente salto.
• Los paquetes se enrutan mediante una ruta basada en políticas a un balanceador de carga de red de paso a través interno del siguiente salto.
• Los paquetes se enrutan mediante una de las siguientes rutas de enrutamiento especiales:
  • Desde un Google Front End de segunda capa usado por un balanceador de carga de aplicación externo global, un balanceador de carga de aplicación clásico, un balanceador de carga de red con proxy externo global o un balanceador de carga de red con proxy clásico. Para obtener más información, consulta Rutas entre los front-ends y los back-ends de Google.
  • De un verificador de comprobaciones de estado. Para obtener más información, consulta Rutas de comprobaciones del estado.
  • Desde Identity-Aware Proxy para el reenvío de TCP. Para obtener más información, consulta Rutas de Identity-Aware Proxy (IAP).
  • Desde Cloud DNS o Service Directory. Para obtener más información, consulta Rutas de Cloud DNS y Service Directory.
  • Desde Acceso a VPC sin servidor. Para obtener más información, consulta Rutas de acceso a VPC sin servidor.
  • Desde un endpoint de Private Service Connect para APIs de Google globales. Para obtener más información, consulta Rutas de los puntos finales de Private Service Connect para las APIs de Google globales.

Los paquetes de respuesta de entrada de las APIs y los servicios de Google globales también pertenecen al tipo de red que no es de Internet. Los paquetes de respuesta de las APIs y los servicios globales de Google pueden tener cualquiera de las siguientes fuentes:

• Una dirección IP de los dominios predeterminados que usan las APIs y los servicios de Google globales.
• Una dirección IP de private.googleapis.com o restricted.googleapis.com.
• Un endpoint de Private Service Connect para APIs de Google globales.

Tipo de red no de Internet para paquetes de salida

Los paquetes de salida enviados desde las interfaces de red de las máquinas virtuales pertenecen al tipo de red no de Internet si se enrutan de una de las siguientes formas:

• Los paquetes se enrutan mediante una ruta de subred y los destinos de los paquetes coinciden con uno de los siguientes:
  • Dirección IPv4 o IPv6 interna regional de un interfaz de red de una máquina virtual, una regla de reenvío de un balanceador de carga interno o una regla de reenvío de un protocolo interno.
  • Una dirección IPv6 externa regional de una interfaz de red de una VM, una regla de reenvío de un balanceador de carga externo regional o una regla de reenvío de protocolo externo.
• Los paquetes se enrutan mediante rutas dinámicas.
• Los paquetes se enrutan mediante rutas estáticas que usan un siguiente salto que no es la pasarela de Internet predeterminada.
• Los paquetes se enrutan mediante rutas estáticas que usan el siguiente salto de la pasarela de Internet predeterminada y los destinos de los paquetes coinciden con uno de los siguientes:
  • Una dirección IP para los dominios predeterminados que usan las APIs y los servicios de Google globales.
  • Una dirección IP de private.googleapis.com o restricted.googleapis.com.
• Los paquetes se enrutan mediante una ruta basada en políticas a un balanceador de carga de red de paso a través interno del siguiente salto.
• Los paquetes se enrutan mediante una de las siguientes rutas de enrutamiento especiales:
  • Rutas entre los front-ends de Google de segunda capa y los back-ends
  • Rutas de comprobaciones del estado
  • Rutas de Identity-Aware Proxy (IAP)
  • Rutas de Cloud DNS y Service Directory
  • Rutas de Acceso a VPC sin servidor
  • Rutas de los endpoints de Private Service Connect de las APIs de Google globales

Criterios para el tipo de redes de VPC

En esta sección se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al tipo de redes de VPC.

Un paquete coincide con una regla de entrada que usa el tipo de redes de VPC en su combinación de origen si se cumplen todas las condiciones siguientes:

• El paquete coincide con al menos uno de los otros parámetros de origen.

• El paquete lo envía un recurso ubicado en una de las redes VPC de origen.

• La red de VPC de origen y la red de VPC a la que se aplica la política de cortafuegos que contiene la regla de entrada son la misma red de VPC o están conectadas mediante el emparejamiento entre redes de VPC o como radios de VPC en un hub de Network Connectivity Center.

Los siguientes recursos se encuentran en una red de VPC:

• Interfaces de red de la VM
• Túneles de Cloud VPN
• Vinculaciones de VLAN de Cloud Interconnect
• Dispositivos router
• Proxies Envoy en una subred de solo proxy
• Endpoints de Private Service Connect
• Conectores de Acceso a VPC sin servidor

Criterios para el tipo de red de VPC interna

En esta sección se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al tipo de red intra-VPC.

Un paquete coincide con una regla de entrada que usa el tipo intra-VPC en su combinación de origen si se cumplen todas las condiciones siguientes:

• El paquete coincide con al menos uno de los otros parámetros de origen.

• El paquete lo envía un recurso ubicado en la red de VPC a la que se aplica la política de cortafuegos que contiene la regla de entrada.

Los siguientes recursos se encuentran en una red de VPC:

• Interfaces de red de la VM
• Túneles de Cloud VPN
• Vinculaciones de VLAN de Cloud Interconnect
• Dispositivos router
• Proxies Envoy en una subred de solo proxy
• Endpoints de Private Service Connect
• Conectores de Acceso a VPC sin servidor