OpenStack|防火墙即服务(Firewall-as-a-service)
接上回说:网络基础
网络组件
覆盖(隧道)协议、网络命名空间、网络地址转换
Openstack网络
Openstack网络(续)
Firewall-as-a-Service(FWaaS)插件将防火墙应用于OpenStack对象,如项目,路由器和路由器端口。
OpenStack防火墙的核心概念是防火墙策略和防火墙规则的概念。 策略是有序的规则集合。 规则指定构成匹配标准的属性(例如端口范围,协议和IP地址)的集合,以及对匹配的流量采取(允许或拒绝)的操作。 策略可以公开,因此可以跨项目共享。
防火墙以各种方式实现,具体取决于所使用的驱动程序。 例如,iptables驱动程序使用iptable规则来实现防火墙。 OpenVSwitch驱动程序使用流表中的流条目来实现防火墙规则。 Cisco防火墙驱动程序操作NSX设备。
FWaaS v1
原来的FWaaS实现v1,为路由器提供保护。 当防火墙应用于路由器时,所有内部端口都受到保护。
下图描述了FWaaS v1保护。 它说明了VM2实例的入口和出口流量:
http://www.yeslab.net/Uploads/201801/5a57401e73089.jpg
FWaaS v2
较新的FWaaS实现v2,提供了更精细的服务。 防火墙的概念已被防火墙组替代,以指示防火墙由两个策略组成:入口策略和出口策略。 防火墙组不应用于路由器级别(路由器上的所有端口)。
FWaaSv1 versus v2
http://www.yeslab.net/Uploads/201801/5a5740574474c.jpg
⊕资料来源于网络
网址:www.yeslab.nethttp://www.yeslab.net/Uploads/201801/5a574082cfff0.gif
感谢楼主分享! 啊啊啊啊啊啊啊啊啊啊啊啊阿啊啊啊 学习一下
页:
[1]