OpenStack|防火墙即服务（Firewall-as-a-service）

yeslab官方

接上回说：
网络基础
网络组件
覆盖（隧道）协议、网络命名空间、网络地址转换
Openstack网络
Openstack网络（续）

Firewall-as-a-Service（FWaaS）插件将防火墙应用于OpenStack对象，如项目，路由器和路由器端口。
OpenStack防火墙的核心概念是防火墙策略和防火墙规则的概念。 策略是有序的规则集合。 规则指定构成匹配标准的属性（例如端口范围，协议和IP地址）的集合，以及对匹配的流量采取（允许或拒绝）的操作。 策略可以公开，因此可以跨项目共享。
防火墙以各种方式实现，具体取决于所使用的驱动程序。 例如，iptables驱动程序使用iptable规则来实现防火墙。 OpenVSwitch驱动程序使用流表中的流条目来实现防火墙规则。 Cisco防火墙驱动程序操作NSX设备。

FWaaS v1
原来的FWaaS实现v1，为路由器提供保护。 当防火墙应用于路由器时，所有内部端口都受到保护。
下图描述了FWaaS v1保护。 它说明了VM2实例的入口和出口流量：

                               
登录/注册后可看大图

FWaaS v2
较新的FWaaS实现v2，提供了更精细的服务。 防火墙的概念已被防火墙组替代，以指示防火墙由两个策略组成：入口策略和出口策略。 防火墙组不应用于路由器级别（路由器上的所有端口）。

FWaaSv1 versus v2

                               
登录/注册后可看大图

​

⊕资料来源于网络

网址：www.yeslab.net

                               
登录/注册后可看大图

Rockyw

感谢楼主分享！

大瞎爱吃汉堡包

啊啊啊啊啊啊啊啊啊啊啊啊阿啊啊啊

易青

学习一下