OpenStack网络指南(7)防火墙即服务(Firewall-as-a-service)

最新推荐文章于 2023-11-08 09:23:33 发布
翻译 最新推荐文章于 2023-11-08 09:23:33 发布 · 3.7k 阅读 · 1
标签
#openstack
本文详细介绍了OpenStack中的Firewall-as-a-Service(FWaaS),包括其核心概念、不同版本的功能对比以及实现方式。FWaaS通过防火墙策略和规则为OpenStack资源提供保护,从v1到v2版本,服务粒度从路由器级别提升到了端口级别,增强了灵活性。

Firewall-as-a-Service(FWaaS)插件将防火墙应用于OpenStack对象,如项目,路由器和路由器端口。
OpenStack防火墙的核心概念是防火墙策略和防火墙规则的概念。 策略是有序的规则集合。 规则指定构成匹配标准的属性(例如端口范围,协议和IP地址)的集合,以及对匹配的流量采取(允许或拒绝)的操作。 策略可以公开,因此可以跨项目共享。
防火墙以各种方式实现,具体取决于所使用的驱动程序。 例如,iptables驱动程序使用iptable规则来实现防火墙。 OpenVSwitch驱动程序使用流表中的流条目来实现防火墙规则。 Cisco防火墙驱动程序操作NSX设备。

FWaaS v1

原来的FWaaS实现v1,为路由器提供保护。 当防火墙应用于路由器时,所有内部端口都受到保护。
下图描述了FWaaS v1保护。 它说明了VM2实例的入口和出口流量:

这里写图片描述

FWaaS v2

较新的FWaaS实现v2,提供了更精细的服务。 防火墙的概念已被防火墙组替代,以指示防火墙由两个策略组成:入口策略和出口策略。 防火墙组不应用于路由器级别(路由器上的所有端口),而是应用于端口级别。 目前,可以指定路由器端口。 对于Ocata,还可以指定VM端口。

FWaaS v1 versus v2

功能v1v2
支持路由器的L3防火墙yesno
支持路由器端口的L3防火墙noyes
支持L2防火墙(VM端口)nono
客户端命令行支持yesyes
Horizon支持yesno
openstack之neutron防火墙fwaas配置和使用
代码讲故事
05-25 1105
示例配置文件 Sample fwaas_driver.ini [DEFAULT] [fwaas] # # From firewall.agent # # Name of the FWaaS Driver (string value) #driver = # Enable FWaaS (boolean value) #enabled = false # Firewall agent class (string value) #agent_version = v2 # Name of the FW
OpenStack(Rocky)安装FWaaS v2
RBK的博客
03-06 2033
FWaaS巴拉巴拉 网上关于这个的配置我觉得是真的不多啊,或者就是不太能用,研究了一下午,总结一下。 其实我的实例还是没法ping虚拟机,但是实例之间可以通过路由ping通,目前就够了。 环境 OpenStack(Rocky)(RDO安装) CentOS 7 10G RAM 45G 硬盘 安装 先安装FWaaS yum install openstack-neutron-fwaas -y 开...
OpenStack防火墙功能实现介绍
mr1jie的博客
11-14 2507
OpenStack防火墙功能实现介绍防火墙功能介绍FWaaS v1创建防火墙更新防火墙删除防火墙其他操作总结 防火墙功能介绍 OpenStack防火墙的核心是防火墙策略和防火墙规则,策略是一组防火墙规则集合,规则是由一组匹配条件(如端口范围、协议、IP地址),以及对匹配流量采取的操作(allow、deny); 策略可以设置成public,跨project使用; 防火墙的功能实现有很多方式,取决于d...
Neutron总结-Firewall as a Service(FWaaS
创新是灵魂,执行是生命。
07-31 5071
理解概念Firewall as a Service(FWaaS)是 Neutron 的一个高级服务。 用户可以用它来创建和管理防火墙,在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。 传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。
OpenStack Firewall-as-a-Service (FWaaS) v2 场景
redwingz的博客
07-06 2293
使能 FWaaS v2版本 在文件/etc/neutron/neutron.conf中使能FWaaS插件: service_plugins = firewall_v2 [service_providers] # ... service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIpt...
Firewall-as-a-Service (FWaaS) v1场景
redwingz的博客
07-04 893
使能 FWaaS v1 FWaaS管理选项可在Dashboard上使用。 在配置文件/etc/neutron/neutron.conf中使能FWaaS插件: service_plugins = firewall [service_providers] # ... service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables...
openstack neutron-fwaas 防火墙之iptables实现细节详解
m0_37313888的博客
02-21 1056
我在操作neutron-fwaas的时候发现了一个有趣的现象 当我设置了目的ip为114.114.114.114的包可以通过防火墙时,内部的虚拟机可以ping通114.114.114.114 但是仔细一想这么做难道没问题吗?因为即使内部的ping 114.114.114.114的包可以通过防火墙,114.114.114.114的返回的包仍然无法通过啊 于是我从iptables的变化来看了...
openstack(Queens版) 安装FWaaS
m0_37313888的博客
01-16 3301
首先,我的环境是ubuntu16.04 网上我看到只有这一篇博客讲了安装步骤,不过我按这篇博客的方法走下来发现dashboard与fwaas都有问题.........简直了,然后就自己按照官方文档配了一遍,发现官方文档也有问题。。 1.关于安装dashboard 开始我是按照neutron-fwaas-dashboard的官方文档安装的,结果在下面这个地方遇到问题,无法汉化,在此记录 ....
OpenStack Neutron:网络类型示意图(local、flat、vlan、vxlan);网络产品简介(dnsmasq、floating IP、安全组、FWaaS、LBaaS
顺其自然~专栏
11-08 2498
FWaaS配置落在虚拟router的network namespac的iptables中,表项匹配了虚拟router上相应的租户网络所在的port(猜测,devstack部署的环境无法启用FWaaS功能。外网其实就是特殊的flat网络或vlan网络,需要在openstack创建时,勾选“外部网络”。外网一定程度上可以理解为非租户网络,因为外网是打通租户网络和物理网络的枢纽,外网是不会挂VM的。外网一定程度上可以理解为非租户网络,因为外网是打通租户网络和物理网络的枢纽,外网是不会挂VM的。
Neutron 理解 (9): OpenStack 如何实现 Neutron 网络 和 Nova虚机防火墙
qq_34043421的博客
05-12 1167
Neutron 理解 (1): Neutron 所实现的虚拟化网络 Neutron 理解 (2): 使用 Open vSwitch + VLAN 组网 Neutron 理解 (3): Open vSwitch + GRE/VxLAN 组网 Neutron 理解 (4): Neutron OVS OpenFlow 流表 和 L2 Population Neutron 理...
OpenStack理论学习(四)
一枚coder的精进(荆棘)之路
09-13 262
最全的OpenStack笔记,后续会不断更新,由浅入深,从小工到专家
理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117
jj1130050965的博客
06-30 869
前面我们学习了安全组,今天学习另一个与安全相关的服务 -- FWaaS。 理解概念 Firewall as a Service(FWaaS)是 Neutron 的一个高级服务。用户可以用它来创建和管理防火墙,在 subnet 边界上对 layer 3 和 layer 4 的流量进行过滤。 传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。 FWaaS 有三个重...
openstack FWaaS 防火墙项目因缺少维护者被弃用
xin053
08-25 1284
介绍 熟悉防火墙的都知道,防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务FireWall as a Service)也是在网络节点上(具体说来是在路由器命名空间中)来实现。 目前,OpenStack 中实现防火墙还是基于 Linux 系统自带的 iptables,所以大家对于其性能和功能就不要抱太大的期望了。 一个可能混淆的概念是安全组(Security Group),安全组的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agent 和 neutr
openstack 配置Fw防火墙界面
wuliangtianzu的博客
08-30 3909
第一步:获取对应版本的neutron-fwaas-dashboard源码 github地址:https://github.com/openstack/neutron-fwaas-dashboard/tree/master neutron-fwaas-dashboard有多个分支,我们下载与openstack版本对应的分支,这里下载的分支为stable/queens: 克隆命令: git ...
OpenStack的部署T版(六)——Neutron组件(概念)
zhangyuebk的博客
05-29 1393
目录 相关概念一、Neutron网络项目二、Linux虚拟网络三、openstack网络基础服务1、Neutron网络结构2、网络子网和端口3、网络拓扑类型4、网络基本架构5、Neutron-server 四、Neutron主要插件、代理和服务1、典型...
OpenStack中的防火墙 ( by quqi99 )
热门推荐
技术并艺术着
04-10 1万+
OpenStack中的防火墙 ( by quqi99 ) 作者:张华 发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一组有序的规则
openstack创建防火墙
weixin_43186741的博客
03-09 1279
This extension introduces these resources: firewall. A logical firewall resource that a project can instantiate and manage. A firewall can have one firewall policy. 翻译:防火墙。 项目可以实例化和管理的逻辑防火墙资源。 防火墙可以有一...
Openstack-----Neutron组件解析
qq_42761527的博客
03-03 6368
一、Neutron基本架构 OpenStack中Neutron采用分布式架构,由多个组件(服务)共同对外提供服务,Neutron架构灵活,层次多。一方面是为了支持各个现有或者将来会出现得先进的网络技术,另外一方面支持分布式部署,获得足够的扩展性 Neutron仅由一个主要的服务进程Neutron-server,它运行于控制节点 Neutron-server对外提供Openstack网络AP...
实践 Neutron FWaaS - 每天5分钟玩转 OpenStack(118)
jj1130050965的博客
06-30 352
前面我们学习了FWaaS 的理论知识,今天将通过实验来学习 FWaaS。 在我们的实验环境中,有两个 instance:cirros-vm1(172.16.100.3) 和 cirros-vm2(172.16.101.3)。 cirros-vm1 和 cirros-vm2 分别位于网络 vlan100 和 vlan101。vlan100 和 vlan101 之间由虚拟路由器 test_router 连接。网络拓扑如下: 在 test_router 没有应用任...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值