neutron中的安全组和防火墙

最新推荐文章于 2023-10-11 14:15:08 发布
最新推荐文章于 2023-10-11 14:15:08 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: OpenStack 文章标签: openstack 安全组 防火墙 FWaaS  neutron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isclouder/article/details/79824669
版权
文章来自作者维护的社区微信公众号【虚拟化云计算】)
目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问
一。防火墙与安全组区别
防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来实现。防火墙可以在安全组之前隔离外部过来的恶意流量,但是对于同个子网内部不同虚拟网卡间的通讯不能过滤(除非它要跨子网)。
FWaaS 保护的是 subnet
安全组的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agent 和 neutron_linuxbridge_agent,会在计算节点上通过配置 iptables 规则来限制虚拟网卡的进出访问。
安全组保护的是 instance
 
 
 
二。安全组
创建虚拟机时给虚拟机添加的安全组实际上是给虚拟机的网卡设置的安全组。
虚拟机没有安全组的概念,安全组是在网卡上的。虚拟机里看到的安全组列表是虚拟机所有网卡的安全组的叠加。
安全组有以下特性:
1. 通过宿主机上 iptables 规则控制进出 instance 的流量。
2. 安全组作用在 instance 的 port 上。
3. 安全组的规则都是 allow,不能定义 deny 的规则。
4. instance 可应用多个安全组叠加使用这些安全组中的规则。
三。虚拟机的安全组
 
例如虚拟机有网卡nic1和nic2
安全组的显示:
nic1 的安全组是secgroupA
nic2 的安全组是secgroupB
那虚拟机的安全组是secgroupA,secgroupB
 
添加网卡:
给虚拟机添加一个网卡nic3,指定安全组为secgroupC(默认是安全组default)。
那虚拟机的安全组是secgroupA,secgroupB,secgroupC
 
给虚拟机添加安全组secgroupA
nic1 的安全组是secgroupA
nic2 的安全组是secgroupA,secgroupB
nic3 的安全组是secgroupA,secgroupC
那虚拟机的安全组是secgroupA,secgroupB,secgroupC
给虚拟机添加安全组:遍历虚拟机的所有网卡,如果某个网卡上没这个安全组则给其添加,如果有则不变。
给虚拟机删除安全组secgroupC
nic1 的安全组是secgroupA
nic2 的安全组是secgroupA,secgroupB
nic3 的安全组是secgroupA
那虚拟机的安全组是secgroupA,secgroupB
给虚拟机删除安全组:遍历虚拟机的所有网卡,如果某个网卡上有这个安全组则给其删除,如果没有则不变。
 
 
四。fwaas
 
1.Firewall as a Service(FWaaS)是 Neutron 的一个高级服务。是在虚拟router 中实现的,所以 FWaaS 没有单独的 agent。 已有的 L3 agent 负责提供所有 FWaaS 功能。
2.用户可以使用防火墙在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。
3.FWaaS 有三个重要概念: Firewall、Policy 和 Rule。
============================================================
关注微信公众号【虚拟化云计算】,阅读更多虚拟化云计算知识,纯技术干货更新不停。
 
 
 
虚拟化云计算技术
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020年全国职业院校技能大赛改革试点赛(
5L2g556F5ZWl77yf
10-17 5613
为赛卷一,环境都是自己做的,仅作参考 网络安全竞赛试题 (一)(总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
Openstack防火墙安全的区别
03-19
本文讲述了OpenStack防火墙安全的区别,写的很详细。供大家学习。
Windows对象安全主体
weixin_34006965的博客
03-03 618
从最基本的层面上来讲,安全的所有事物都可归结为主体和对象对象是所保护的事物,而主体是可能威胁对象安全的事物。在身份验证(核对您的身份)、授权(授予某个事物的访问权限)以及审核(跟踪谁访问过什么)使用了这两种结构。从本质上来说,这些概念非常简单(如图 1 所示)。 图 1 一位用户尝试读取某个文件 主体是执行操作的事物,而对象是主体对其执行操作的事物。并且,有...
2023年HCIA-Cloud Service V3.0 H13-811(最新考试题库200题)
weixin_52808317的博客
02-07 7687
2023年最新的华为云服务HCIA题库,实时更新
安全组和ACL有什么区别
山兔的博客
12-13 495
安全对弹性云服务器进行防护。网络ACL对子网进行防护
安全组和防火墙的区别
zstack_org的博客
10-15 4899
前言 熟悉云平台的朋友可能都会注意到这样一个事情:无论公有云还是私有云,创建虚拟机的时候都需要选择安全,来对虚拟机进行安全防护;有的云平台在VPC里,还能选择防火墙,ZStack在3.6版本也发布了VPC防火墙功能。可能有的朋友会有疑惑,防火墙安全到底有什么区别?有了安全,是否可以不需要防火墙了?他们是相互替代关系吗?本文将会给大家做一个详细介绍,剖析防火墙安全的异同以及各自的应用场景...
OpenStack Neutron安全机制探索
weixin_43851330的博客
02-20 1338
过去一直以为,neutron安全是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境的firewall driver是openvswitc
Neutron安全
最新发布
烟云的计算
10-11 1215
Neutron Security Group 用于针对 Neutron Port 粒度进行 ACL 安全防护,支持设置多条 Security Group Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。在 Linux Kernel ,网络连接状态记录功能由 CT(connection tracker)模块提供,作为 Netfilter 状态防火墙的支撑。
安装neutron防火墙和负载均衡功能
Flytiger
08-04 2307
功能简介FWaaSFirewall as a Service(FWaaS)是 Neutron 的一个高级服务。用户可以用它来创建和管理防火墙,在subnet的边界上对layer 3和layer 4的流量进行过滤。传统网络防火墙一般放在网关上,用来控制子网之间的访问。FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。FWaaS 有三个重要
115-Neutron 默认安全规则 1
08-08
cirros-vm1 的 TAP interface 为 tap8bca5b86-23,可以看到:1. iptables 的规则是应用在 Neutron por
深入理解Neutron-文.tar
08-30
讲解Neutron概况。介绍了Linux的虚拟网络知识。讲述了Neutron的实现模型。讲述的Neutron的资源模型。讲述了Neutron的基本架构,以及架构所涉及的Web机制、通信机制、并发机制等。
openstackneutron
03-31
详解Vxlan和GRE -
Neutron防火墙服务neutron-fwaas.zip
07-19
neutron-fwaasOpenStack Neutron防火墙服务。这个包包括了 Neutron 防火墙服务(FWaaS)的源代码,例如第三方驱动。这个库需要 Neutron 运行。 标签:neutron
深入理解 OpenStack Neutron 原理和实现
09-22
本文整理自本人的技术博客Neutron系列文章。任何疑问、问题或者建议,可以给本人发邮件或者在我的博文添加评论。 本系列文章基于 OpenStack Juno 版本,是在参考了大量网络资料的基础上加上自己的理解和实践而...
ubuntu16.04搭建openstack详细记录
热门推荐
虚拟化云计算技术
04-26 1万+
(安装手册) http://docs.openstack.org/newton/install-guide-ubuntu/ (文文档:) http://docs.openstack.org/zh_CN/ (词汇表:) http://docs.openstack.org/mitaka/zh_CN/install-guide-ubuntu/common/glossary.html#...
openstack-一个脚本搞定openstack部署
虚拟化云计算技术
03-06 9824
(文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) 本文把openstack部署的所有命令整理成一个完整的脚本,一个脚本解决所有问题。 一般部署分三步:1,安装openstack包;2,修改配置文件;3,运行这个脚本。 mydeploy.py import os...
neutron配置使用qos限制网络带宽
虚拟化云计算技术
03-27 5223
(文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) qos基础 在Linux系统上,无论去使用怎样的工具,最终都要使用TC来做流量控制。TC利用队列规定建立处理数据包的队列,并定义队列的数据包被发送的方式, 从而实现对流量的控制。Linux内核支持的队列主要有: TBF(T...
Openstack单网卡使用多ip
虚拟化云计算技术
04-10 4580
文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) 创建虚拟机时主机上会有一条iptables 用来将ip和mac绑定,用来防止arp欺骗。在需要给单个网卡配置多个ip的场景下(例如keepalive)另外添加的ip地址是无法与外界通信的。 两种方法来解决。 第一种是使用al...
OpenStack问题集锦(持续更新...)
虚拟化云计算技术
03-16 4248
(文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) 如何再添加一个管理员用户 # keystone-manage bootstrap --bootstrap-username myadmin --bootstrap-password my...
openstackneutron的使用
07-15
5. 创建安全:定义安全规则,控制虚拟机的入站和出站流量,以增强网络安全性。 6. 创建端口和关联设备:为虚拟机创建端口,并将端口关联到相应的虚拟网络上。这样虚拟机就能够通过该端口与网络进行通信。***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值