基于360虚拟防火墙实现neutron三层网络功能

最新推荐文章于 2024-02-07 15:26:56 发布
最新推荐文章于 2024-02-07 15:26:56 发布
阅读量1k 收藏 1
点赞数
分类专栏: neutron 安全 文章标签: neutron 安全 vrouter

本文转载

总结

360虚拟防火墙基于虚拟机形态集成了三层网络和安全防护功能,该虚拟机作为租户网络的三层路由器,通过手动创建内网网关port和外网port,并将这些port绑定到虚拟机中,从而连通租户vpc网络,这个虚拟机则提供针对vpc的南北流量转发和边界安全防护。另外vpn网络的东西向流量可以通过基于流表实现的分布式逻辑路由器进行转发,从而减少该虚拟机的流量负载。这样就形成了一个功能完整的vpn网络解决方案。上面的操作封装成创建vpc网络,用户只需要创建自己的本地租户网络,然后连接vpc网络即可。

UnitedStack有云与360企业安全联合宣布,360虚拟化下一代防火墙(以下简称:360虚拟化防火墙)与UOS4.0云操作系统产品已完成兼容性测试。在OpenStack云计算环境上使用360虚拟化防火墙可以为企业级客户提供针对VPC的南北向边界安全解决方案。

360虚拟化防火墙专门为虚拟化环境设计,能够在公有云、私有云、混合云等多种场景下使用,为云平台用户提供专业安全防护能力。

本文介绍了360虚拟化防火墙在UOS 4.0产品中的测试细节,包括基本三层网关、SNAT/DNAT、路由、VPN、Flood攻击防护和IPS防护等功能。

1 NGFW的L3基本功能测试

用户可以将360 NGFW作为VPC网络的L3功能实现,下面是一个典型的L3的拓扑。

这里写图片描述
NGFW虚拟防火墙作为L3网络功能,连接租户网络和外部网络,充当L3网关功能。该虚拟防火墙有两类接口, LAN侧接口(接入租户网络的接口)和WAN侧接口(接入外部网络的接口),用户虚拟机的默认网关为该虚拟防火墙LAN侧接口IP;用户可以单独划分一个管理网络,在其中创建该虚拟防火墙,并绑定浮动IP进行虚拟防火墙的管理,该网络通常也被称作“NFV服务网络”。

1.1 创建管理网络并在该网络下创建虚拟化下一代防火墙

建立VxLAN类型网络以及子网

这里写图片描述
创建对应的子网
这里写图片描述
创建一个为管理网创建一个Neutron路由器:

这里写图片描述
使用路由器连接管理网络和外部网络

#neutron router-interface-add  360-ngfw-mgt-router 360-ngfw-mgt-subnet
#neutron router-gateway-set  360-ngfw-mgt-router c6f75da1-0c65-4aa3-9845-6062c15f3de4

其中,c6f75da1-0c65-4aa3-9845-6062c15f3de4为外部网络的UUID。我们在该管理网上创建虚拟化防火墙的虚拟机了。

步骤1.创建虚拟机

这里写图片描述

这里写图片描述

其中,网络选择我们之前创建的管理网,安全组确保ICMP,SSH,HTTP/HTTPS流量放行。点击创建即可。

步骤2.绑定浮动IP

这里写图片描述
在绑定浮动IP后,我们得到如下的IP映射:

这里写图片描述

即,我们得到192.168.199.103到10.0.197.14的映射。

默认该接口在NGFW中映射为ge1,并且该接口上已经enable了https的访问。用户可以通过上述浮动IP登录虚拟化下一代防火墙的管理界面。
这里写图片描述

1.2 创建LAN侧接口并验证内网网关连通

租户的网络的网关为NGFW,即我们应该将网关接口附加到NGFW的虚拟机上作为租户网络LAN侧网关接口。接下来手动完成这个过程 。

首先创建租户网络,这里我们依然指定为VxLAN隧道网络。

这里写图片描述

接下来创建租户子网,这里我们指定为10.10.10.0/24,其默认网关为10.10.10.1。

这里写图片描述

这里我们不再额外创建路由器,而是利用创建出来的NGFW实例提供路由功能。

我们分配租户网络的网关接口Port,将其附加到NGFW虚拟机实例上。

将网关Port添加到虚拟化下一代防火墙上:

#nova interface-attach --port-id=8519d4fb-6f1a-4ecb-8ce8-0224027d27f9 ngfw-instance1

其中0545048e-24c5-49b5-beae-1f8b754d7a7e 为360-ngfw-tenant-subnet所对应的UUID。8519d4fb-6f1a-4ecb-8ce8-0224027d27f9为我们刚分配的租户网络网关接口。

重启系统,我们将会在配置页面看到有两个接口。

这里写图片描述

我们来验证租户网络的连通性。在ge2上开启Ping功能。

在租户网络上创建两个虚拟机(创建过程省略)。

我们在tenant-vm-1和tenant-vm-2 中分别ping NGFW虚拟机网关

1.3 创建WAN侧接口并验证接口连通性

我们在外部网络中创建一个Port,附加到NGFW实例上作为租户网络与外部连通的WAN侧接口。

本次测试使用的UOS 4.0云平台中,外部网络的定义如下:

这里写图片描述
其中router:external属性为True。

接下来为防火墙虚拟机实例分配一个外部网络下的Port。
这里写图片描述

其中分配的IP地址为10.0.197.17/24,默认网关地址为10.0.197.1

接下来我们将该接口附加到虚拟机上。

#nova interface-attach --port-id=b5dd0aa2-d429-4948-a6a8-f67c0818b7dc ngfw-instance1

修改静态路由,使得防火墙的默认路由通过ge3接口出来。

这里写图片描述
这里的ge3就是vpc的外网出口了。

验证外部接口的连通性。

在ge3接口上开启 Ping功能,并在外部网络中ping该接口地址。

后续测试功能如下:

1.4 SNAT功能验证

1.5 DNAT功能验证

2 NGFW的GRE隧道网络功能测试

3 NGFW SYN Flood防御功能测试

4 NGFW IPS防御功能测试
5 测试结论

本次测试可以看到,基于360虚拟化防火墙可以为VPC提供南北向流量的安全防护,帮助客户实现边界安全,功能涵盖面广泛。该种方式,无需在被保护的服务器上安装额外的软件,并且在UOS4.0云平台上通过Heat编排可以方便的将该服务SaaS化,实现与UOS4.0云平台的无缝对接。

本文衔接

forrest_zhu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文搞懂防火墙虚拟
m0_67804955的博客
05-08 1682
防火墙虚拟功能用的不多,除非有比较高的隔离需求。一般情况,是可靠性或者堆叠这种多虚一的高可靠性场景使用较广。本文对现有防火墙虚拟化技术进行相应的介绍和实验,希望对大家有用。
360网神防火墙系统(NSG系列)用户手册【V17.08.01】.pdf
07-17
这是网神防火墙的配置手册,清晰明了,简洁,可以学习下。
防火墙虚拟系统概述及实现原理
最新发布
Mario_Ti的博客
02-07 1774
本文介绍防火墙虚拟系统实现原理。
防火墙——虚拟系统理论讲解
m0_49864110的博客
04-23 5529
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。
Neutron作为VXLAN控制平面的那些事
OpenInfra的博客
10-29 1011
1、引言 大家都说OpenStack中最难学的是Neutron,其实单论Neutron一般用户不需要学习太深入,只要了解Neutron的架构API/Plugin/Agent架构就差不多了,Neutron中最复杂的其实是Neutron自身实现的一套SDN方案中涉及到的知识体系,比如:基于flow 工作模式OpenvSwitch,OpenvSwitch实现VXLAN,以及Neutron如何配合硬件交换机实现VXLAN等等;每一个知识点其实都有不少内容可说,今天本文主题想深入分析下Neutron 使用VXLAN
华为防火墙vsys之虚拟防火墙配置
IT技术
01-11 2660
华为防火墙vsys之虚拟防火墙配置
深入理解Neutron-OpenStack网络实现
09-20
深入理解Neutron--OpenStack网络实现
Openstack虚拟网络服务Neutron.zip
07-18
Neutron 是 Openstack 的虚拟网络服务。 标签:Neutron
OpenStack网络组件Neutron的研究
01-30
-Openstack网络组件的发展历程-Neutron的结构-NeutronServer的结构-Neutron的配置Openstack在2010年正式发布它的第一个版本Austin的时候,nova-network作为它的核心组件被包含其中。nova-network的功能主要有:IP...
65-Neutron 功能概述1
08-08
Neutron基于SDN实现网络虚拟化,允许在不依赖特定硬件的情况下创建、修改和删除网络。它利用Linux系统上的网络技术,如Linux Bridge和Open vSwitch(OVS),提供二层交换和三层路由等功能。OVS是一个开源虚拟交换机...
360网神防火墙系统(NSG系列)命令参考【V16.12.1】.pdf
08-24
360网神防火墙系统(NSG系列)命令参考【V16.12.1】 本文档主要适用用于负责配置和维护防火墙安全管理员。 本手册默认用户掌握 TCP/IP 协议、IP 地址及子网掩码等基本知识。
华为防火墙配置虚拟防火墙举例(路由模式)
11-19
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
虚拟思科防火墙配置 !!!用真正的ios
11-05
1,Cisco实验模拟器 PIX 个人版 v1.9软件是基于Dynamips技术,让我们感谢伟大的Chris! 2,本软件为免费软件,任何喜欢Cisco PIX技术的人都可以免费使用,希望您能够喜欢 3,本软件的版权归作者BluShin所有。使用者不得对本软件产品进行反向工程、反向编译或反汇编,违者属于侵权行为,并自行承担由此产生的不利后果。 4,由于版权限制,本软件不提供Cisco公司IOS文件,请使用者自行解决 5,由使用本软件带来的法律纠纷,由使用者自己负责,作者概不负责 6,如果你无法接受以上声明,请不要使用本软件。谢谢! 另外,作者提供有偿定制软件服务,可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件携带方便,不受网络环境变化的限制,能够实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190。 软件介绍: ====================== 1,本软件是为PIX爱好者制作的,主要用于练习PIX命令 2,本软件为绿色软件,且每个模拟设备只有一个可执行文件,携带方便。 3,经测试本软件可以完成的绝大部门PIX实验 4,本软件为一个模块化软件,可以不断增加模拟设备 软件操作指南: ================================== 1,请把解压缩后的文件和你所用的IOS放在同一目录下,不要修改解压后文件的目录结构 2,请自行下载并安装WinPcap 3,请在命令行下运行“GetMac -v "命令,获取你所用活动网卡的参数信息。如\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D},注意要把“TCP”修改为“NPF” 4,首先运行PIX.exe,然后再运行OutRouter.exe和InSwitch.exe。其中Switch是绑定Router运行的,Switch不能首先单独运行。 5,配置你要桥接PIX的PC网卡参数 在运行PIX时,在出现“请输入您要与PIX桥接的本地活动的网卡参数(例如:\Device\NPF_{07D829F6-353B-4E92-8371-E286BEF3190D}),注意格式!!输入后请按回车键:”提示符后,请输入你在第3步获取的网卡参数 6,配置你选用的IOS文件 在运行Router和Switch时,在出现“请输入您选用路由器的IOS文件(只能是3640系列的IOS!),注意IOS文件要与本程序在同一目录下!!输入后请按回车键:”时,输入你选用的IOS文件名,注意IOS文件要与本程序在同一目录下 7,参数设置完毕!即可启动PIX和路由器了,当PIX出现“QEMU waiting for connection on: :4001,server”和当路由器交换机最后出现“JIT enabled”时,恭喜你!模拟器已经成功启动! 10,你可以通过Telnet或者超级终端登录相应端口进入路由器进行实验了! 注意事项 ================= 1,本软件是基于Dynamips技术,感谢伟大的Chris为我们CiscoFuns开发这么强大的模拟器 2,本软件模拟的是3640系列的路由器,所以IOS选择只能是3640系列的路由器 3,请务必把你选用的IOS文件放到与本程序同一目录下 4,本软件PIX你可以自行通过修改PEMU.INI文件选用PIXos版本,本软件选用的是PIXos8.03和ASDM6.03。并且已经写入到FLASH文件中,如何运行ASDM,请看我写的PIX for ASDM指导 5,请先运行路由器,然后再运行交换机 6,运行本软件之前你需要安装WinPcap程序。 7,本软件虽然已经过多次测试,但是难免存在一些不足,如果在运行中出现任何问题,您可以QQ 46826190或者E-Mail:BluShin@126.com 联系作者 ==================== 作者提供有偿定制软件服务。可根据你设计的网络拓扑图,为你构建网络模拟设备。每台设备均为绿色可执行文件,携带方便,而且可以实现分布式网络虚拟环境的搭建。若有需要,请QQ 46826190或者BluShin@126.com。
防火墙虚拟
KT986的博客
05-28 2465
防火墙虚拟虚拟化技术原理:将一台物理的防火墙,从逻辑上划分为多台虚拟防火墙,但是共享CPU、内存等物理资源;不同的虚拟防火墙之间,配置、转发完全隔离,从而实现功能定制、个性化管理以及资源的最大化利用 虚拟化两种类型: 一虚多(提升系统资源利用率;降低硬件成本;节省能耗、空间及管理成本) 多虚一(简化运维,可靠性高) vrrp(把两台防火墙的接口虚拟成一个接口,统一对外提供一个IP地址),服务器负载均衡属于虚拟化技术 防火墙虚拟化的发展 从VFW(虚拟防火墙)到VSYS(虚拟...
UOS server 配置防火墙
jackiesky1106的博客
11-19 2751
以上两行代码备注,以防无法启动借鉴使用,未经测试。yes:已开启 no:未开启。若遇到无法开启的情况,执行以下操作。4、查询指定端口是否开启。
VXLAN技术——数据中心底层技术
qq_40741808的博客
07-23 2677
VXLAN一、概述VXLAN定义为什么需要VXLAN虚拟机数量的快速增长与虚拟机迁移业务的日趋频繁,给传统的“二层+三层”数据中心网络带来了新的挑战:VXLAN与VLAN之间有何不同二、VXLAN的网络模型和基本概念三、VXLAN的报文格式四、XVLAN是如何解决现有数据中心问题的五、哪些VTEP之间需要建立VXLAN隧道什么是“同一大二层域”如何确定报文属于哪个BD哪些报文要进入VXLAN隧道?将二层子接口加入BDVXLAN隧道是怎么建立的VXLAN分布式网关VXLAN分布式网关具有如下特点如何确定报文要
锐捷防火墙(WEB)——混合模式(VDOM)场景
君逍遥o
09-20 648
虚拟域(VDOM),可以理解为虚拟防火墙,是一种将一个RG-WALL设备分为两个或两个以上虚拟设备的技术,它能起到多个独立设备的作用。VDOM可提供单独防火墙策略,在NAT/路由模式下,它可完全分开配置,从而为各连通网络或组织提供路由或VPN服务,同时VDOM之间也可以互访。设备的系统资源可以手动分配给不同的VDOM。一般常用于需要完成独立分割的多个网络,比如云环境;由于NGFW只能切换成nat和透明的其中一种模式,所以在既有透明又有nat路由的混合环境下必须使用VDOM模式来实施”
掌握OpenStack Neutron网络虚拟化与运维实践
学习Linux网络虚拟化基础知识对于理解Neutron至关重要,因为它奠定了Neutron基于SDN的设计理念,利用了Linux内核提供的网络功能,如TUN/TAP和vNIC,以及如何在虚拟环境中实现网络隔离和虚拟交换。 在实际应用中,一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值