Esta página foi traduzida pela API Cloud Translation.

Entender os tipos de rede

As seções a seguir descrevem como o Cloud Next Generation Firewall classifica o tráfego usando tipos de rede. Para mais informações sobre tipos de rede, consulte Tipos de rede.

Critérios para tipo de rede de Internet

Esta seção descreve os critérios que o Cloud Next Generation Firewall usa para determinar se um pacote pertence ao tipo de rede da Internet.

Tipo de rede da Internet para pacotes de entrada

Os pacotes de entrada roteados para uma interface de rede de máquina virtual (VM) por um Google Maglev pertencem ao tipo de rede da Internet. Os pacotes são roteados por um Maglev para uma interface de rede de VM quando o destino do pacote corresponde a um dos seguintes:

Um endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga de rede de passagem externa ou regra de encaminhamento para encaminhamento de protocolo externo.
Um endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externa ou uma regra de encaminhamento para encaminhamento de protocolo externo, e o pacote não foi roteado usando uma rota de sub-rede local ou uma rota de sub-rede importada pelo peering de rede VPC ou de um spoke da VPC em um hub do Network Connectivity Center.

Para mais informações sobre pacotes roteados pelo Maglev para VMs de back-end em um balanceador de carga de rede de passagem externa ou encaminhamento de protocolo externo, consulte Caminhos para balanceadores de carga de rede de passagem externa e encaminhamento de protocolo externo.

Tipo de rede da Internet para pacotes de saída

A maioria dos pacotes de saída enviados das interfaces de rede da VM, roteados por uma rota estática cujo próximo salto é o gateway de Internet padrão, pertence ao tipo de rede da Internet. No entanto, se os endereços IP de destino desses pacotes de saída forem para APIs e serviços globais do Google, esses pacotes vão pertencer ao tipo de rede não relacionada à Internet. Para mais informações sobre a conectividade com APIs e serviços globais do Google, consulte Tipo de rede sem Internet.

Quando os pacotes são roteados usando uma rota estática cujo próximo salto é o gateway de Internet padrão, todos os pacotes enviados pelas interfaces de rede da VM para os seguintes destinos pertencem ao tipo de rede da Internet:

Um destino de endereço IP externo fora da rede do Google.
Um destino de endereço IPv4 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
Um destino de endereço IPv4 e IPv6 externo global de uma regra de encaminhamento de um balanceador de carga externo global.

Os pacotes enviados pelas interfaces de rede da VM para os gateways do Cloud VPN e do Cloud NAT pertencem ao tipo de rede da Internet:

Pacotes de saída enviados de uma interface de rede de uma VM que executa o software do Cloud VPN para o endereço IPv4 externo regional de um gateway do Cloud VPN pertencem ao tipo de rede de Internet.
Os pacotes de saída enviados de um gateway do Cloud VPN para outro não pertencem a nenhum tipo de rede porque as regras de firewall não se aplicam a gateways do Cloud VPN.
Para o Public NAT, os pacotes de resposta enviados de uma interface de rede de VM para um endereço IPv4 externo regional de um gateway do Cloud NAT pertencem ao tipo de rede da Internet.

Se as redes VPC estiverem conectadas usando o peering de rede VPC ou se participarem como hubs VPC no mesmo hub do Network Connectivity Center, as rotas de sub-rede IPv6 poderão fornecer conectividade a destinos de endereços IPv6 externos regionais de interfaces de rede de VM, regras de encaminhamento de balanceador de carga externo regional e regras de encaminhamento de protocolo externo. Quando a conectividade a esses destinos de endereço IPv6 externo regional é fornecida usando uma rota de sub-rede, os destinos estão no tipo de rede não Internet em vez disso.

Critérios para tipo de rede sem Internet

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao tipo de rede não relacionada à Internet.

Tipo de rede não relacionada à Internet para pacotes de entrada

Os pacotes de entrada pertencem ao tipo de rede não Internet se forem roteados para a interface de rede de uma instância de VM ou para uma regra de encaminhamento de balanceador de carga interno de uma das seguintes maneiras:

Os pacotes são roteados usando uma rota de sub-rede, e os destinos de pacote correspondem a um dos seguintes:
- Um endereço IPv4 ou IPv6 interno regional de destino de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
- Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
Os pacotes são roteados usando uma rota estática para uma instância de VM de próximo salto ou um balanceador de carga de rede de passagem interna de próximo salto.
Os pacotes são roteados usando uma rota com base em políticas para um balanceador de carga de rede de passagem interna de próximo salto.
Os pacotes são roteados usando um dos seguintes caminhos de roteamento especiais:
- De um Google Front End de segunda camada usado por um balanceador de carga de aplicativo externo global, um balanceador de carga de aplicativo clássico, um balanceador de carga de rede de proxy externo global ou um balanceador de carga de rede de proxy clássico. Para mais informações, consulte Caminhos entre o Google Front Ends e os back-ends.
- De uma sondagem de verificação de integridade. Para mais informações, consulte Caminhos para verificações de integridade.
- Do Identity-Aware Proxy para encaminhamento de TCP. Para mais informações, consulte Caminhos para o Identity-Aware Proxy (IAP).
- Do Cloud DNS ou do Diretório de Serviços. Para mais informações, consulte Caminhos para o Cloud DNS e o Service Directory.
- Em "Acesso VPC sem servidor". Para mais informações, consulte Caminhos para acesso VPC sem servidor.
- De um endpoint do Private Service Connect para APIs globais do Google. Para mais informações, consulte Caminhos para endpoints do Private Service Connect para APIs globais do Google.

Pacotes de resposta de entrada de APIs e serviços globais do Google também pertencem ao tipo de rede não Internet. Os pacotes de resposta das APIs e dos serviços globais do Google podem ter qualquer uma das seguintes fontes:

Um endereço IP para os domínios padrão usados pelas APIs e serviços globais do Google.
Um endereço IP de private.googleapis.com ou restricted.googleapis.com.
Um endpoint do Private Service Connect para APIs globais do Google.

Tipo de rede não relacionada à Internet para pacotes de saída

Os pacotes de saída enviados das interfaces de rede da VM pertencem ao tipo de rede não relacionada à Internet se forem roteados de uma das seguintes maneiras:

Os pacotes são roteados usando uma rota de sub-rede, e os destinos de pacote correspondem a um dos seguintes:
- Um endereço IPv4 ou IPv6 interno regional de destino de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga interno ou regra de encaminhamento para encaminhamento de protocolo interno.
- Um destino de endereço IPv6 externo regional de uma interface de rede de VM, regra de encaminhamento de um balanceador de carga externo regional ou regra de encaminhamento para encaminhamento de protocolo externo.
Os pacotes são roteados usando rotas dinâmicas.
Os pacotes são encaminhados usando rotas estáticas que usam um próximo salto que não é o gateway de Internet padrão.
Os pacotes são roteados usando rotas estáticas que usam o próximo salto do gateway de Internet padrão e os destinos dos pacotes correspondem a um dos seguintes:
- Um endereço IP para os domínios padrão usados pelas APIs e serviços globais do Google.
- Um endereço IP de private.googleapis.com ou restricted.googleapis.com.
Os pacotes são roteados usando uma rota com base em políticas para um balanceador de carga de rede de passagem interna de próximo salto.
Os pacotes são roteados usando um dos seguintes caminhos de roteamento especiais:

Critérios para o tipo de rede VPC

Esta seção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao tipo de redes VPC.

Um pacote corresponde a uma regra de entrada que usa o tipo de redes VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

O pacote corresponde a pelo menos um dos outros parâmetros de origem.
O pacote é enviado por um recurso localizado em uma das redes VPC de origem.
A rede VPC de origem e a rede VPC a que a política de firewall que contém a regra de entrada se aplica são a mesma rede VPC ou estão conectadas usando peering de rede VPC ou como spokes VPC em um hub do Network Connectivity Center.

Os seguintes recursos estão localizados em uma rede VPC:

Interfaces de rede da VM
Túneis do Cloud VPN
Anexos da VLAN do Cloud Interconnect
Dispositivos de roteador
Proxies do Envoy em uma sub-rede somente proxy
Endpoints do Private Service Connect
Conectores de acesso VPC sem servidor

Critérios para o tipo de rede VPC interna

Nesta seção, descrevemos os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao tipo de rede intra-VPC.

Um pacote corresponde a uma regra de entrada que usa o tipo intra-VPC na combinação de origem se todas as condições a seguir forem verdadeiras:

O pacote corresponde a pelo menos um dos outros parâmetros de origem.
O pacote é enviado por um recurso localizado na rede VPC a que a política de firewall que contém a regra de entrada se aplica.