Openstack 安全组流表处理分析

最新推荐文章于 2024-04-20 19:08:26 发布
置顶 最新推荐文章于 2024-04-20 19:08:26 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 虚拟化 文章标签: linux 虚拟化 openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctylihuai/article/details/114397357
版权

1、Openstack 流表介绍

# Table to decide whether further filtering is needed
# 临时的,暂时的处理,决定是否需要更深处理
TRANSIENT_TABLE                    = 60
TRANSIENT_EGRESS_TABLE   = 61

# Tables used for ovs firewall
# 出方向的基础表
BASE_EGRESS_TABLE             = 71
# 出方向的规则表
RULES_EGRESS_TABLE           = 72
# 接收或入方向的表
ACCEPT_OR_INGRESS_TABLE  = 73
# 入方向的基础表
BASE_INGRESS_TABLE               = 81
# 入方向的规则表                                                                                                                 
RULES_INGRESS_TABLE             = 82

# Tables for parties interacting with ovs firewall
# 和ovs防火墙交互的各个方向处理表
ACCEPTED_EGRESS_TRAFFIC_TABLE      = 91
ACCEPTED_INGRESS_TRAFFIC_TABLE     = 92
DROPPED_TRAFFIC_TABLE                         = 93
ACCEPTED_EGRESS_TRAFFIC_NORMAL_TABLE = 94

 

2、关闭端口安全功能

br-int外部流量通过patch port进入,进行虚机端口的强制校验,目的是虚机端口则normal转发,否则drop

br-int虚机端口流量,直接normal转发

3、开启端口安全,安全组规则是空

br-int外部流量通过patch port进入,进行虚机端口的强制校验,目的是虚机端口且匹配vlan和mac后strip vlan,通过output转发

br-int虚机端口流量,确定是虚机端口,放过一些协议,进行匹配vlan和mac进行output转发,或normal转发,ip-mac防欺骗校验,已建立相关连接进行normal转发,新建等其他drop

71,72,73,81,82表,都有一条最低优先级流表action drop

4、开启端口安全,默认安全组

br-int外部流量通过patch port进入,进行虚机端口的强制校验,目的是虚机端口且匹配vlan和mac后strip vlan,放过协议通过output转发;正常检查远程安全组或根据配置规则进行放过后output转发。

br-int虚机端口流量,确定是虚机端口,放过一些协议,进行匹配vlan和mac进行output转发,ip-mac防欺骗校验,已建立相关连接进行匹配规则后output转发

71,72,73,81,82表,都有一条最低优先级流表action drop

 

5、开启端口安全,默认安全组,配置INGRESS EGRESS tcp 22

与default安全组相比,72表和82表分别增加了虚机网卡,tcp端口22的出流量放行,入流量放行

71,72,73,81,82表,都有一条最低优先级流表action drop

 

车泰勇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
OpenStack高可用核心架构分析
02-26
摘要:对任何一个分布式系统,高可用HA都是最核心的设计目标之一,而OpenStack这样一个复杂系统,高可用更是涉及到多个层面,本文重点解析了OpenStack各层次的HA设计。【编者按】本文从OpenStack架构入手,剖析了IaaS的云平台最核心的主要是这三部分:计算、网络、存储,作者指出OpenStack这样一个复杂系统,高可用更涉及到多个层面,只要有一个层面做不到高可用,那么整个OpenStack都没法高可用,随后他从基础服务Mysql和RabbitMQ,Nova、Neutron、Cinder接入与控制服务,网络服务三块探讨了OpenStack各层次的HA设计。以下为原文:OpenSt
OpenStack OVS防火墙驱动程序
redwingz的博客
07-09 1410
OVS驱动程序与当前的iptables防火墙驱动程序具有相同的API接口,将安全组和端口的状态保留在防火墙内。创建类“SGPortMap”以保持防火墙状态的一致,并负责从端口映射到安全组,或者相反。每个端口和安全组都通过其封装必要信息的自身对象所表示。 注: Open vSwitch防火墙驱动程序使用register 5标识与流关联的端口,使用register 6标识特别应用于conntrack ...
Openstack中防火墙和安全组的区别
03-19
本文讲述了OpenStack中防火墙和安全组的区别,写的很详细。供大家学习。
OpenStack安全特性分析与部署(毕业设计).docx
11-21
本文基于网络安全等级保护2.0基本要求,从安全通用要求和云计算安全扩展要求对OpenStack云计算平台进行安全特性分析,提出了一套安全OpenStack云计算平台解决方案并对解决方案进行实现和验证测试,编写了“OpenStack安全部署指导书”。(平台搭建版本:Queen版本,安全部署主要包括https安全传输、服务组件日志集中收收集、云主机迁移、VxLAN网络、配置用户密码策略、流量监控、防火墙即服务FwaaS、安全组规则、浮动IP、iptables防火墙、KVM热添加硬盘、磁盘加密、磁盘安全擦除等)
syntribos, OpenStack安全组的python API安全测试工具.zip
09-18
syntribos, OpenStack安全组的python API安全测试工具 团队和知识库标签 Syntribos,自动化的API安全测试工具 syntribos xxxxxxx x xxxxxxxxxxxxx x x xxxxxxxxxxx x xxxxx
OpenStack OVS实现安全组(五)
bob的博客
06-30 2946
防火墙 防火墙是避免网络信息基础设施免受复杂网络环境中安全攻击的必要设施。高效的防火墙则更需要实时跟踪来往于不同网络设备间的各类网络连接,即“有状态防火墙”。对于实际的硬件物理网络基础设施需要防火墙,对于虚拟网络设备,openstack在这样的云平台亦需要同样的防火墙进行网络保护。 在Openstack中,防火墙由“Security Group”和“FWaas”两大服务组成。其中Security Group在port级别提供对VM网络通信的访问控制。而Fwaas则运行在vrouter上在subnet的边界控
ovs vlan tag管理
zheng的博客
11-13 2474
1、背景 当使用ovs管理虚机的网络时,ovs会为虚机的tap设备添加一个内部的vlan tag,如下图所示,存在两个bridge,br0-ovs、br-int,其中br0-ovs挂载物理网卡设备eth2,br-int挂载虚机tatp设备,br0-ovs与br-int之间通过一对patch口连接,ovs为tap设备分配了内部vlan 2和内部vlan 3,本文主要描述ovs是如何完成这些内部vlan与外部vlan的转换。 2、流表规则 首先看一下br-int的流表规则,可以看到从int-br0-o
07_openstack安全组与浮动IP
桂安俊@KylinOS
12-03 2964
目录一、环境准备二、浮动IP1、浮动IP介绍2、创建和分配浮动IP三、安全组1、安全组介绍2、创建安全组3、给云主机绑定安全组部署openstack私有云环境:02_openstack私有云部署_桂安俊@kylinOS的博客-CSDN博客创建项目和用户:03_openstack之项目及用户管理_桂安俊@kylinOS的博客-CSDN博客创建镜像:04_openstack之Glance镜像和云主机类型_桂安俊@kylinOS的博客-CSDN博客创建网络:05_openstack之Neutron网络管理_桂安俊
openstack openflow流表分析
anzhuangguai的专栏
07-29 5596
流表表格参考1,流表内容参考2 为方便描述,加一下情况分析 主干流程 1 流表0匹配,发现是patch_int口的报文,resubmit到表2(参考1中说是表1,FIXME) cookie=0x0, duration=11509.036s, table=0, n_packets=1059, n_bytes=116533, idle_age=740, priority=1,in_port
OpenStack-Neutron组件-详解
m0_62727902的博客
05-18 507
例如,两个隔离的ⅥLAN网络之间需要实现通信,可以通过物理路由器实现,由物理路由器提供相应的 IP 路由表,确保两个IP子网之间的通信,将两个VLAN网络中的虚拟机默认网关分别设置为路由路由器的接口A和B的IP地址。VLAN中的虚拟机要与 VLANB中的虚拟机通信时,数据包将通过LANA中的物理网卡到达路由器,有物理路由器转发到 VLAN B中的物理网卡,在到目的的虚拟机。为了达到这一目标,在设计上遵循了基于 SDN 实现网络虚拟化的原则,在实现上充分利用了 Linux 系统上的各种网络相关的技术。
Neutron的dvr模式下br-int桥二、三层流量泛洪问题分析.pptx
03-20
neutron的dvr模式下的br-int泛洪问题分析,提出修复方法,并验证通过。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
OpenStack故障处理
03-20
OpenStack故障处理
OpenVSwitch下发安全组流表
bobi的博客
11-30 1598
安全组 1、安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、数据库等实例的网络访问控制,是重要的网络安全隔离手段。 您可以通过配置安全组规则 2、安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内,允许或禁止安全组内的实例对公网或私网的访问 3、安全组策略可以对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 ,修改安全组的规则后新规则立即生效。 安全组和网络ACL的区别 安全组 网
OpenStack Neutron 中的 DVR 简介与 OVS 流表分析
llxx1234的博客
01-08 665
https://www.ibm.com/developerworks/cn/cloud/library/1509_xuwei_dvr/
neutron DVR
weixin_33763244的博客
04-12 396
DVR 简介 DVR 提出的背景 在 Neutron 的网络环境中,跨子网的虚机通信是需要通过 Neutron 的路由器。这既包括不同子网的虚拟机之间的通信,又包括虚拟机与外网之间的通信。在 DVR 被提出之前, 由于 Neutron 的 legacy router 只会部署在网络节点上,因此会造成网络节点的流量过大,从而产生了两个问题,其一是网络节点将成为整个 Neutron 网络的瓶颈,其...
OpenStack Neutron安全组机制探索
weixin_43851330的博客
02-20 1338
过去一直以为,neutron的安全组是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全组iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境中的firewall driver是openvswitc
openvswitch--OpenFlow 流表设置
热门推荐
Nicholas的专栏
02-09 1万+
流规则组成每条流规则由一系列字段组成,分为基本字段、条件字段和动作字段三部分: 基本字段包括生效时间duration_sec、所属表项table_id、优先级priority、处理的数据包数n_packets,空闲超时时间idle_timeout等,空闲超时时间idle_timeout以秒为单位,超过设置的空闲超时时间后该流规则将被自动删除,空闲超时时间设置为0表示该流规则永不过期,idle_tim
openstack安全组ovs实现原理
weixin_35664258的博客
03-26 2869
ddd
linux18:进程等待
最新发布
m0_73919066的博客
04-20 1074
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
openstack安全
04-07
OpenStack安全是指在OpenStack云平台中实施的各种安全措施,以确保OpenStack云环境的安全性和可靠性。以下是一些OpenStack安全措施: 1. 访问控制:OpenStack使用身份验证和授权技术来控制用户对云资源的访问。用户必须通过身份验证才能访问OpenStack云环境中的资源。 2. 数据安全OpenStack使用加密技术来保护数据的机密性和完整性。OpenStack还使用备份和恢复技术来保护数据免受数据损坏或丢失的影响。 3. 网络安全OpenStack使用虚拟网络和网络隔离技术来保护网络的安全性。OpenStack还使用防火墙和入侵检测系统来保护网络免受网络攻击的影响。 4. 操作安全OpenStack使用审计和日志记录技术来监控系统操作并检测异常操作。OpenStack还使用补丁管理技术来及时修补系统漏洞。 5. 物理安全OpenStack需要确保物理资源的安全性,如服务器、存储设备和网络设备。OpenStack需要采取必要的措施来防止物理资源被未经授权的人员访问。 总之,OpenStack安全是一个综合性的工程,需要从多个方面考虑和实施。只有通过综合性的安全措施,才能确保OpenStack云环境的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值