用户可以用它来创建和管理防火墙,在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。
 
传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。 FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。
 
FWaaS 有三个重要概念: Firewall、Policy 和 Rule。
Firewall
租户能够创建和管理的逻辑防火墙资源。 Firewall 必须关联某个 Policy,因此必须先创建 Policy。
Firewall Policy
Policy 是 Rule 的集合,Firewall 会按顺序应用 Policy 中的每一条 Rule。
Firewall Rule
Rule 是访问控制的规则,由源与目的子网 IP、源与目的端口、协议、allow 或 deny 动作组成。
例如,我们可以创建一条 Rule,允许外部网络通过 ssh 访问租户网络中的 instance,端口为 22。
 
 
与 FWaaS 容易混淆的概念是安全组(Security Group)。
安全组的应用对象是虚拟网卡,由 L2 Agent 实现,比如 neutron_openvswitch_agent 和 neutron_linuxbridge_agent。
 
安全组会在计算节点上通过 iptables 规则来控制进出 instance 虚拟网卡的流量。
也就是说:安全组保护的是 instance。
 
FWaaS 的应用对象是 router,可以在安全组之前控制外部过来的流量,但是对于同一个 subnet 内的流量不作限制。
也就是说:FWaaS 保护的是 subnet。
所以,可以同时部署 FWaaS 和安全组实现双重防护。

启用 FWaaS

因为 FWaaS 是在 router 中实现的,所以 FWaaS 没有单独的 agent。 已有的 L3 agent 负责提供所有 FWaaS 功能。
要启用 FWaaS,必须在 Neutron 的相关配置文件中做些设置。

配置 firewall driver

Neutron 在 /etc/neutron/fwaas_driver.ini 文件中设置 FWaaS 使用的 driver。 如下图所示:
这里 driver 为 iptables。如果以后支持更多的 driver,可以在这里替换。

配置 Neutron

在 Neutron 配置文件 /etc/neutron/neutron.conf  中启用 FWaaS plugin。
配置完毕!下节我们开始创建 Firewall。
 

 
在我们的实验环境中,有两个 instance: cirros-vm1(172.16.100.3) 和 cirros-vm2(172.16.101.3)。
cirros-vm1 和 cirros-vm2 分别位于网络 vlan100 和 vlan101。 vlan100 和 vlan101 之间由虚拟路由器 test_router 连接。 网络拓扑如下:
 
在 test_router 没有应用任何 FWaaS 的情况下,cirros-vm1 可以通过 ping 和 ssh 跨网络访问 cirros-vm2。
 
 
下面我们将进行如下实验:
1. 创建一个不包含任何 rule 的 firewall “test_firewall” 并应用到 test_router。
此时 FWaaS 生效,默认情况下会阻止任何跨子网的流量。 
2. 创建 rule 允许 ssh,并将其添加到 test_firewall。此时 cirros-vm1 应该能够 ssh cirros-vm2。
 
 
应用无 rule 的 firewall
点击菜单 Project -> Network -> Firewalls,打开 Firewall Policies 标签页面。 目前没有定义任何 Policie。
 
点击按钮,显示Policy 创建页面。
将 Policy 命名为 “test_policy”,直接点击 “Add” 按钮。
 
这样我们创建的 test_policy 不包含任何 Rule。
 
进入 “Firewalls” 标签页,点击 “Create Firewall” 按钮
将新的 Firewall 命名为 “test_firewall”,并关联 “test_policy”。
 
在 “Routers” 标签页中选择 “test_router”。 点击 “Add” 创建 firewall。
 
等待 test_firewall 的 Status 变为 “Active”,此时 test_router 已经成功应用 test_policy。
 
 
可以通过 iptables-save 查看 router namespace 的 iptables 规则
 
为了让大家了解底层到底发生了什么变化,下面用 vimdiff 显示了应用 test_firewall 前后 iptables 规则的变化。
 
下面我们来分析一下这些规则。
route 在转发数据包时会使用 chain:
-A FORWARD -j neutron-***-agen-FORWARD
neutron-***-agen-FORWARD 的规则如下:
-A neutron-***-agen-FORWARD -o qr-+ -j neutron-***-agen-iv4e85f4601  
-A neutron-***-agen-FORWARD -i qr-+ -j neutron-***-agen-ov4e85f4601  
-A neutron-***-agen-FORWARD -o qr-+ -j neutron-***-agen-fwaas-defau  
-A neutron-***-agen-FORWARD -i qr-+ -j neutron-***-agen-fwaas-defau
 
我们以第一条为例,其含义是:从 router namespace 任何一个 qr-* interface 发出
的流量都会应用 chain neutron-***-agen-iv4e85f4601,该 chain 定义如下:
-A neutron-***-agen-iv4e85f4601 -m state --state INVALID -j DROP  
-A neutron-***-agen-iv4e85f4601 -m state --state RELATED,ESTABLISHED -j ACCEPT
其规则为: 
1. 如果数据包的状态为 INVALID,则 DROP。 
2. 如果数据包的状态为 RELATED 或 ESTABLISHED,则 ACCEPT。
 
其他正常传输的数据怎么处理呢? 回到 neutron-***-agen-FORWARD chain 的下一条关于 router 外出数据的规则:
-A neutron-***-agen-FORWARD -o qr-+ -j neutron-***-agen-fwaas-defau
neutron-***-agen-fwaas-defau 内容为:
-A neutron-***-agen-fwaas-defau -j DROP
可见,数据会被丢弃。 同样的道理,router 上所有进入 qr-* interface 的数据也会被丢弃。
其结论是:在没有定义任何 firewall rule 的情况下,进出 router 的数据包都会被丢弃。
 
ping 和 ssh 测试表明目前 cirros-vm1 确实已经无法与 cirros-vm2 通信。
 
 
下面我们添加一条 firewall rule:允许 ssh。
在 Firewall Rules 标签页面点击 “Add Rule” 按钮。
 
将新 rule 命名为 “allow ssh”, Protocal 选择 “TCP”, Action 为 “ALLOW”, Destination Port/Port Range 为 “22”,
点击 “Add” ,rule 创建成功。
 
 
接下来将 rule 添加到 policy 中。
 
点击 Firewall Policies 标签页面,然后点击 “test_policy” 后面的 “Insert Rule” 按钮。
在下拉框中选择 Rule “allow ssh”,点击 “Save Changes”。
 
可以看到,“allow ssh” 已经成功添加到 “test_policy” 中。
 
 
通过 vimdiff 查看 router namespace 的 iptables-save 发生了什么变化。
iptables 添加了两条规则:
-A neutron-***-agen-iv4e85f4601 -p tcp -m tcp --dport 22 -j ACCEPT
-A neutron-***-agen-ov4e85f4601 -p tcp -m tcp --dport 22 -j ACCEPT
其含义是进出 router 的 tcp 数据包,如果目的端口为 22(ssh)ssh,则一律 ACCEPT。
 
测试一下,cirros-vm1 已经可以 ssh cirros-vm2,但 ping 还是不通,这与预期一致。
“allow ssh” 已经起作用。 同时我们也发现,firewall rule 对进出流量同时生效,不区分方向。
小节
 
 
FWaaS 用于加强 Neutron 网络的安全性,与安全组可以配合使用。 
下面将 FWaaS 和安全组做个比较。
相同点: 
1. 底层都是通过 iptables 实现。
 
不同点: 
1. FWaaS 的 iptables 规则应用在 router 上,保护整个租户网络;
安全组则应用在虚拟网卡上,保护单个 instance。
2. FWaaS 可以定义 allow 或者 deny 规则;安全组只能定义 allow 规则。
3. 目前 FWaaS 规则不能区分进出流量,对双向流量都起作用;
安全组规则可以区分 ingress 和 egress。
 
 
 

Neutron:Firewall as a Service(FWaaS)的更多相关文章

  1. Neutron: Load Balance as a Service(LBaaS)负载均衡

    load balancer 负责监听外部的连接,并将连接分发到 pool member.    LBaaS 有三个主要的概念: Pool Member,Pool 和 Virtual IP Pool M ...

  2. Windows as a Service(4)——使用Intune管理Windows10更新

    这是这个系列的最后一篇文章,我已经花了三篇的篇幅和大家分享有关于Windows as a Serivce的相关内容,链接如下: Windows as a Service(1)-- Windows 10 ...

  3. Windows as a Service(3)——使用SCCM管理Windows10更新

    Hello 小伙伴们,这是这个系列的第三篇文章,我已经和大家分享了有关于Windows 10服务分支以及利用WSUS管理更新的方式,有兴趣的小伙伴们可以参考下面的链接: Windows as a Se ...

  4. Java服务器端生成报告文档:使用SQL Server Report Service(SSRS)

    SQL Server Report Service(SSRS)提供了Asp.Net和WinForm两类客户端组件封装,因此使用C#实现SSRS报表的导出功能,仅需要使用相应的组件即可. Java操作S ...

  5. openstack核心组件——neutron网络服务 抓取ip(9)

    云计算openstack核心组件——neutron网络服务(9)   一.虚拟机获取 ip: 用 namspace 隔离 DHCP 服务   Neutron 通过 dnsmasq 提供 DHCP 服务 ...

  6. 架构设计:负载均衡层设计方案(7)——LVS + Keepalived + Nginx安装及配置

    1.概述 上篇文章<架构设计:负载均衡层设计方案(6)——Nginx + Keepalived构建高可用的负载层>(http://blog.csdn.net/yinwenjie/artic ...

  7. Linux实战教学笔记48:openvpn架构实施方案(一)跨机房异地灾备

    第一章VPN介绍 1.1 VPN概述 VPN(全称Virtual Private Network)虚拟专用网络,是依靠ISP和其他的NSP,在公共网络中建立专用的数据通信网络的技术,可以为企业之间或者 ...

  8. Apache CXF实现Web Service(5)—— GZIP使用

    Apache CXF实现Web Service(5)-- GZIP使用 参考来源: CXF WebService整合Spring Apache CXF实现Web Service(1)--不借助重量级W ...

  9. Apache CXF实现Web Service(4)——Tomcat容器和Spring实现JAX-RS(RESTful) web service

    准备 我们仍然使用 Apache CXF实现Web Service(2)——不借助重量级Web容器和Spring实现一个纯的JAX-RS(RESTful) web service 中的代码作为基础,并 ...

随机推荐

  1. 2. CMake 系列 - 编译多文件项目

    目录 1. 编译不使用第三方库的项目 1.1 项目目录结构 1.2 相关代码 1.3 编译 2. 编译使用第三方库的项目 2.1 项目目录结构 2.2 相关代码 2.3 编译 1. 编译不使用第三方库 ...

  2. java调用python程序以及向python程序传递参数

    在做项目的时候,经常会碰到这个问题,主要程序是用java写的,有些功能使用python写的,整个项目需要把java代码和python代码进行整合,在一个项目里面运行,这就涉及到java调用python ...

  3. Python3中性能测试工具Locust安装使用

    Locust安装使用: 安装: python3中           ---> pip3 install locust 验证是否安装成功---> 终端中输入 locust --help  ...

  4. 记录DEV gridview获取行列数据方法

    DataRow dr = this.gridView1.GetDataRow(this.gridView1.FocusedRowHandle);//获取选中行 string str = gridVie ...

  5. pycharm安装svn插件

    弄了svn的服务端和客户端,为了方便我pycharm的使用,我又在pycharm里进行了配置,要用到subversion 下载 https://sourceforge.net/projects/win ...

  6. Windows Server 2019 容器化探索-Docker安装

    Docker on Windows Server 2019 微软自Windows Server 2016开始支持Docker,今天我们将介绍在Windows Server 2019上安装并使用Dock ...

  7. SLAM+语音机器人DIY系列:(七)语音交互与自然语言处理——1.语音交互相关技术

    摘要 这一章将进入机器人语音交互的学习,让机器人能跟人进行语音对话交流.这是一件很酷的事情,本章将涉及到语音识别.语音合成.自然语言处理方面的知识.本章内容: 1.语音交互相关技术 2.机器人语音交互 ...

  8. 还在问跨域?本文记录js跨域的多种实现实例

    前言 众所周知,受浏览器同源策略的影响,产生了跨域问题,那么我们应该如何实现跨域呢?本文记录几种跨域的简单实现 前期准备 为了方便测试,我们启动两个服务,10086(就是在这篇博客自动生成的项目,请戳 ...

  9. 论AOP面向切面编程思想

    原创: eleven 原文:https://mp.weixin.qq.com/s/8klfhCkagOxlF1R0qfZsgg [前言] AOP(Aspect-Oriented Programming ...

  10. 第一册:lesson 119.

    原文: A true story. question:Who called out to the thieves in the dark? Do you like stories? I want to ...