Comprende los tipos de redes

En las siguientes secciones, se describe cómo Cloud Next Generation Firewall clasifica el tráfico según los tipos de redes. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.

Criterios para el tipo de red de Internet

En esta sección, se describen los criterios que usa Cloud Next Generation Firewall para determinar si un paquete pertenece al tipo de red de Internet.

Tipo de red de Internet para paquetes de entrada

Los paquetes de entrada que un Maglev de Google enruta a una interfaz de red de máquina virtual (VM) pertenecen al tipo de red de Internet. Un Maglev enruta los paquetes a una interfaz de red de VM cuando el destino del paquete coincide con uno de los siguientes elementos:

• Es una dirección IPv4 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas de red de transferencia externo o una regla de reenvío para el reenvío de protocolos externos.
• Una dirección IPv6 externa regional de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas de red de transferencia externo o una regla de reenvío para el reenvío de protocolos externos y el paquete no se enrutó con una ruta de subred local o una ruta de subred que se importó mediante el intercambio de tráfico entre redes de VPC o desde una VPC radial en un centro de Network Connectivity Center.

Para obtener más información sobre los paquetes que Maglev enruta a las VMs de backend para un balanceador de cargas de red de transferencia externo o un reenvío de protocolos externos, consulta Rutas para balanceadores de cargas de red de transferencia externos y reenvío de protocolos externos.

Tipo de red de Internet para paquetes de salida

La mayoría de los paquetes de salida que se envían desde las interfaces de red de la VM, enrutados por una ruta estática cuyo siguiente salto es la puerta de enlace de Internet predeterminada, pertenecen al tipo de red de Internet. Sin embargo, si las direcciones IP de destino de estos paquetes de salida son para los servicios y las APIs de Google globales, estos paquetes pertenecen al tipo de red que no es de Internet. Para obtener más información sobre la conectividad a los servicios y las APIs globales de Google, consulta Tipo de red sin Internet.

Cuando los paquetes se enrutan a través de una ruta estática cuyo próximo salto es la puerta de enlace de Internet predeterminada, los paquetes que envían las interfaces de red de la VM a los siguientes destinos pertenecen al tipo de red de Internet:

• Es un destino de dirección IP externa fuera de la red de Google.
• Es la dirección IPv4 externa regional de destino de una interfaz de red de VM, la regla de reenvío de un balanceador de cargas externo regional o la regla de reenvío para el reenvío de protocolos externos.
• Es la dirección IPv6 externa regional de destino de una interfaz de red de VM, la regla de reenvío de un balanceador de cargas externo regional o la regla de reenvío para el reenvío de protocolos externos.
• Es el destino de una dirección IPv4 e IPv6 externa global de una regla de reenvío de un balanceador de cargas externo global.

Los paquetes que envían las interfaces de red de la VM a las puertas de enlace de Cloud VPN y Cloud NAT pertenecen al tipo de red de Internet:

• Los paquetes de salida enviados desde una interfaz de red de una VM que ejecuta software de Cloud VPN a la dirección IPv4 externa regional de una puerta de enlace de Cloud VPN pertenecen al tipo de red de Internet.
• Los paquetes de salida que se envían de una puerta de enlace de Cloud VPN a otra no pertenecen a ningún tipo de red, ya que las reglas de firewall no se aplican a las puertas de enlace de Cloud VPN.
• En el caso de la NAT pública, los paquetes de respuesta que se envían desde una interfaz de red de VM a la dirección IPv4 externa regional de una puerta de enlace de Cloud NAT pertenecen al tipo de red de Internet.

Si las redes de VPC están conectadas a través del intercambio de tráfico entre redes de VPC o si participan como radios de VPC en el mismo centro de Network Connectivity Center, las rutas de subred IPv6 pueden proporcionar conectividad a los destinos de direcciones IPv6 externas regionales de las interfaces de red de VM, las reglas de reenvío del balanceador de cargas externo regional y las reglas de reenvío de protocolos externos. Cuando la conectividad a esos destinos de direcciones IPv6 externas regionales se proporciona a través de una ruta de subred, los destinos se encuentran en el tipo de red que no es de Internet.

Criterios para el tipo de red sin Internet

En esta sección, se describen los criterios que usa el NGFW de Cloud para determinar si un paquete pertenece al tipo de red que no es de Internet.

Tipo de red que no es de Internet para paquetes de entrada

Los paquetes de entrada pertenecen al tipo de red que no es de Internet si se enrutan a la interfaz de red de una instancia de VM o a una regla de reenvío del balanceador de cargas interno de una de las siguientes maneras:

• Los paquetes se enrutan con una ruta de subred, y los destinos de los paquetes coinciden con uno de los siguientes elementos:
  • Es la dirección IPv4 o IPv6 interna regional de destino de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas interno o una regla de reenvío para el reenvío de protocolos interno.
  • Es la dirección IPv6 externa regional de destino de una interfaz de red de VM, la regla de reenvío de un balanceador de cargas externo regional o la regla de reenvío para el reenvío de protocolos externos.
• Los paquetes se enrutan a través de una ruta estática a una instancia de VM de próximo salto o a un balanceador de cargas de red de transferencia interno de próximo salto.
• Los paquetes se enrutan a través de una ruta basada en políticas a un balanceador de cargas de red de transferencia interno de próximo salto.
• Los paquetes se enrutan a través de una de las siguientes rutas de acceso de enrutamiento especiales:
  • Desde un Google Front End de segunda capa que usa un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones clásico, un balanceador de cargas de red de proxy externo global o un balanceador de cargas de red de proxy clásico Para obtener más información, consulta Rutas entre Google Front Ends y backends.
  • De un sistema de sondeo de verificación de estado. Si deseas obtener más información, consulta Rutas de acceso para las verificaciones de estado.
  • Desde Identity-Aware Proxy para el reenvío de TCP Para obtener más información, consulta Rutas de Identity-Aware Proxy (IAP).
  • Desde Cloud DNS o el Directorio de servicios. Para obtener más información, consulta Rutas de acceso para Cloud DNS y el Directorio de servicios.
  • Desde el Acceso a VPC sin servidores. Para obtener más información, consulta Rutas para el Acceso a VPC sin servidores.
  • Desde un extremo de Private Service Connect para las APIs de Google globales Para obtener más información, consulta Rutas para los extremos de Private Service Connect de las APIs de Google globales.

Los paquetes de respuesta de entrada de las APIs y los servicios globales de Google también pertenecen al tipo de red que no es de Internet. Los paquetes de respuesta de las APIs y los servicios globales de Google pueden tener cualquiera de las siguientes fuentes:

• Una dirección IP para los dominios predeterminados que usan los servicios y las APIs de Google globales
• Una dirección IP para private.googleapis.com o restricted.googleapis.com
• Un extremo de Private Service Connect para las APIs de Google globales.

Tipo de red que no es de Internet para paquetes de salida

Los paquetes de salida enviados desde las interfaces de red de la VM pertenecen al tipo de red que no es de Internet si se enrutan de una de las siguientes maneras:

• Los paquetes se enrutan con una ruta de subred, y los destinos de los paquetes coinciden con uno de los siguientes elementos:
  • Es la dirección IPv4 o IPv6 interna regional de destino de una interfaz de red de VM, una regla de reenvío de un balanceador de cargas interno o una regla de reenvío para el reenvío de protocolos interno.
  • Es la dirección IPv6 externa regional de destino de una interfaz de red de VM, la regla de reenvío de un balanceador de cargas externo regional o la regla de reenvío para el reenvío de protocolos externos.
• Los paquetes se enrutan con rutas dinámicas.
• Los paquetes se enrutan con rutas estáticas que usan un próximo salto que no es la puerta de enlace de Internet predeterminada.
• Los paquetes se enrutan a través de rutas estáticas que usan el siguiente salto de la puerta de enlace de Internet predeterminada y los destinos de los paquetes coinciden con uno de los siguientes elementos:
  • Una dirección IP para los dominios predeterminados que usan los servicios y las APIs de Google globales
  • Una dirección IP para private.googleapis.com o restricted.googleapis.com
• Los paquetes se enrutan a través de una ruta basada en políticas a un balanceador de cargas de red de transferencia interno de próximo salto.
• Los paquetes se enrutan a través de una de las siguientes rutas de acceso de enrutamiento especiales:
  • Rutas entre Google Front Ends de segunda capa y backends
  • Rutas de las verificaciones de estado
  • Rutas de Identity-Aware Proxy (IAP)
  • Rutas de acceso para Cloud DNS y el Directorio de servicios
  • Rutas para el Acceso a VPC sin servidores
  • Rutas para los extremos de Private Service Connect de las APIs de Google globales

Criterios para el tipo de redes de VPC

En esta sección, se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al tipo de redes de VPC.

Un paquete coincide con una regla de entrada que usa el tipo de redes de VPC en su combinación de origen si se cumplen todas las siguientes condiciones:

• El paquete coincide con al menos uno de los otros parámetros de origen.

• El paquete se envía desde un recurso ubicado en una de las redes de VPC de origen.

• La red de VPC de origen y la red de VPC a la que se aplica la política de firewall que contiene la regla de entrada son la misma red de VPC o están conectadas a través del intercambio de tráfico entre redes de VPC o como radios de VPC en un concentrador de Network Connectivity Center.

Los siguientes recursos se encuentran en una red de VPC:

• Interfaces de red de VM
• Túneles de Cloud VPN
• Adjuntos de VLAN de Cloud Interconnect
• Dispositivos del router
• Proxies de Envoy en una subred de solo proxy
• Extremos de Private Service Connect
• Conectores de Acceso a VPC sin servidores

Criterios para el tipo de red dentro de la VPC

En esta sección, se describen los criterios que usa Cloud NGFW para determinar si un paquete pertenece al tipo de red intra-VPC.

Un paquete coincide con una regla de entrada que usa el tipo intra-VPC en su combinación de origen si se cumplen todas las siguientes condiciones:

• El paquete coincide con al menos uno de los otros parámetros de origen.

• El paquete lo envía un recurso ubicado en la red de VPC a la que se aplica la política de firewall que contiene la regla de entrada.

Los siguientes recursos se encuentran en una red de VPC:

• Interfaces de red de VM
• Túneles de Cloud VPN
• Adjuntos de VLAN de Cloud Interconnect
• Dispositivos del router
• Proxies de Envoy en una subred de solo proxy
• Extremos de Private Service Connect
• Conectores de Acceso a VPC sin servidores