OpenStack Zed提供了什么防火墙技术?
OpenStack Zed是2022年10月发布的最新OpenStack版本。OpenStack是一个私有云操作系统,它控制数据中心的大型计算、网络和存储资源池。它通过基于web的仪表板进行管理,用户可以使用该仪表板配置其私有云资源。
OpenStack Zed包括一个开源的防火墙即服务(FWaaS)解决方案,由RackSpace和NASA于2010年创建。它现在是OpenInfra基金会的旗舰项目,与OpenStack Neutron项目一起交付,为OpenStack部署提供网络安全。
什么是防火墙即服务(FWaaS)?
随着向云的广泛迁移,移动设备的使用日益增多,以及向远程工作的过渡,传统的网络边界正在崩溃。许多组织通过保护网络边界实现了网络安全,同时固有地信任安全边界内的实体。这种方法不适合现代网络,使组织容易受到威胁。
网络安全的发展需要新的解决方案,其中之一是FWaaS,它将网络防火墙功能移动到云上,而不是在传统网络外围部署防火墙。利用云计算可以为组织提供许多财务、网络性能和安全优势。
FWaaS将下一代防火墙(NGFW)功能移动到云上,使其能够在需要保护的资产附近部署FWaaS。通过将安全功能与物理基础设施分离,组织可以将远程移动工人和办公室安全地连接到现代企业网络,无论应用程序驻留在内部还是云中。另一个主要好处是能够实现敏感资源或工作负载的微分段。
为什么企业需要FWaaS?
FWaaS使组织能够将其安全检查过程全部或部分转移到云上。这一转变的主要好处如下:
——服务级别协议(SLA):云提供商提供各种SLA,用于定义每个订阅或账户获得的功能。SLA提供了供应商将满足某些业务需求的保证。
——可承受的成本:FWaaS通常提供按需和灵活的定价模型,无需投资高资本支出(CapEx)成本和各种运维成本。
——低维护:“即服务”模式可确保提供商处理基础设施及其管理的任何服务的更新和调整,从而使组织能够将时间和精力用于关键任务。
——可扩展性:FWaaS将组织的分布式用户和站点连接到单个全局防火墙。它采用中央应用程序感知策略,使组织能够更好地扩展云安全。
——适用于所有业务规模:FWaaS供应商为员工提供保护各种设备的资源,使FWaaS适用于所有企业规模。
——启用SASE:FWaaS提供NGFW功能,而无需与设置局域网(WAN)基础设施相关的开销,使其成为安全接入服务边缘(SASE)架构的关键组件。
OpenStack FWaaS功能
Neutron是OpenStack网络即服务项目,包括一个防火墙即服务(FWaaS)插件,该插件在OpenStack对象(如项目、路由器端口和路由器)上实施防火墙。
FWaaS核心概念
OpenStack防火墙的核心概念是:
——防火墙规则:指定当流量与一组属性(如端口范围、协议或IP地址)匹配时,防火墙应采取的操作(允许或拒绝)。
——防火墙策略:一组有序的规则。你可以发布策略以在项目间共享。
防火墙可以根据你使用的驱动程序以各种方式实现。例如:
——iptables驱动程序使用iptable规则来实现防火墙;
——OpenVSwitch驱动程序使用流表中的流条目来实现防火墙规则;
——Cisco防火墙驱动程序可用于NSX设备。
FWaaS v2的新增功能如下:
FWaaS v1已被弃用,取而代之的是v2。在v2中,防火墙的概念已被防火墙组所取代,这表明防火墙需要两个策略:出口策略和入口策略。防火墙组应用于端口级别,而不是路由器级别,你可以指定要保护的路由器端口。
FWaaS 2中的新功能概括如下:
——默认情况下不支持路由器的3级防火墙,但你可以通过将防火墙组应用于某个路由器中的所有端口来启用它。
——支持路由器端口的3级防火墙。
——支持2级防火墙(即VM端口)。
——提供命令行界面(CLI)。
——支持OpenStack Horizon仪表板。
启用和配置Zed防火墙
启用FWaaS v2
要在OpenStack中启用FWaaS v2插件,需要执行以下步骤:
——安装必要的软件依赖关系。你需要安装neutron-fwaas和neutron-fwaas-dashboard包以及特定OpenStack部署所需的任何其他依赖关系。
——在OpenStack配置文件中启用FWaaS v2插件。这通常涉及将以下行添加到neutron.conf文件中:
[fwaas]
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver
——重新启动OpenStack Neutron服务。你需要重新启动Neutron服务才能使更改生效。
——在OpenStack仪表板中配置FWaaS v2插件。你需要登录OpenStack仪表板并导航到网络>防火墙选项卡。从这里,你可以配置FWaaS v2插件并根据需要创建防火墙规则。
请注意,这些步骤可能会因特定OpenStack部署和使用的FWaaS插件的版本而异。有关配置和使用FWaaS插件的详细说明,最好参考OpenStack文档。
配置防火墙即服务v2
要在OpenStack中配置FWaaS v2,你需要创建防火墙规则、防火墙策略和防火墙组。以下是这些组件的概述:
——防火墙规则定义了当数据包符合特定条件时要采取的操作。例如,你可以根据源或目标IP地址、端口号或协议创建防火墙规则以允许或拒绝流量。每个防火墙规则由一组条件(例如,源IP地址)和一个操作(例如,允许或拒绝)组成。
——防火墙策略是一起应用的防火墙规则的集合。你可以创建多个防火墙策略来覆盖不同的场景,并根据需要将它们应用于不同的资源。
——防火墙组是应用于特定资源集(如特定网络或子网)的防火墙策略的逻辑分组。你可以创建多个防火墙组,并根据需要将它们应用于不同的资源。
要在OpenStack中创建防火墙规则、策略和组,你需要登录到OpenStack仪表板并导航到“网络”>“防火墙”选项卡。从这里,你可以使用可用选项来创建和配置这些组件。
结论
本文解释了FWaaS的基础知识,并介绍了开源FWaaS解决方案,该解决方案被打包为OpenStack中子的一部分。新的OpenStack Zed包括此解决方案的新版本FWaaS v2。
本文展示了一个简单的三步流程,用于配置FWaaS v2并开始为工作负载创建安全的外围环境:
——定义防火墙规则
——使用以下命令创建防火墙策略:
openstack firewall group policy create——使用以下命令创建防火墙组以实施策略:
openstack firewall group create