Hizmet Olarak Güvenlik Duvarı (FWaaS) eklentisi projeler, yönlendiriciler ve yönlendirici bağlantı noktaları gibi OpenStack nesnelerine güvenlik duvarını uygular.
Not
Bunun, Ocata döngüsünde VM bağlantı noktalarına genişletilmesini bekliyoruz.
OpenStack güvenlik duvarlarıyla temel kavramlar bir güvenlik duvarı politikası ve bir güvenlik duvarı kuralı kavramlarıdır. Bir politika, kuralların sıralı bir birleşimidir. Kural, eşleşme ölçütlerini oluşturan bir eşleşme kümesini (ör. Bağlantı noktası aralıkları, protokol ve IP adresleri) ve eşleşen trafikte (kabul veya reddetmek için) bir eylem belirtir. Bir politika kamuoyuna açıklanabilir, dolayısıyla projeler arasında paylaşılabilir.
Güvenlik duvarları, kullanılan sürücüye bağlı olarak çeşitli şekillerde uygulanır. Örneğin, bir iptables sürücüsü iptables kurallarını kullanarak güvenlik duvarları uygular. Bir OpenVSwitch sürücüsü, akış tablolarındaki akış girdilerini kullanarak güvenlik duvarı kurallarını uygular. Bir Cisco güvenlik duvarı sürücüsü, Cisco cihazlarını yönetir. Bir VMware sürücüsü NSX yönlendiricilerini yapılandırır.
Orijinal FWaaS uygulaması, v1, yönlendiriciler için koruma sağlar. Yönlendiriciye bir güvenlik duvarı uygulandığında, tüm dahili portlar korunur.
Aşağıdaki diyagram FWaaS v1 korumasını tasvir etmektedir. VM2 örneği için giriş ve çıkış trafiğinin akışını göstermektedir:
En yeni FWaaS uygulaması olan v2, çok daha ayrıntılı bir hizmet sunmaktadır. Bir güvenlik duvarı kavramı bir güvenlik duvarının iki ilkeden oluştuğunu belirtmek için güvenlik duvarı grubuyla değiştirildi: bir girme politikası ve bir çıkış politikası. Bir güvenlik duvarı grubu, yönlendirici seviyesinde (bir yönlendiricideki tüm bağlantı noktaları değil), ancak bağlantı noktası düzeyinde uygulanır. Şu anda, yönlendirici bağlantı noktaları belirtilebilir. Ocata için VM bağlantı noktaları da belirtilebilir.
Aşağıdaki tablo v1 ve v2’nin özelliklerini karşılaştırmaktadır.
Özellik | v1 | v2 |
---|---|---|
Yönlendiriciler için L3 güvenlik duvarını destekler | EVET | HAYIR* |
Yönlendirici bağlantı noktaları için L3 güvenlik duvarı oluşturmayı destekler | HAYIR | EVET |
L2 güvenlik duvarını destekler (VM bağlantı noktaları) | HAYIR | HAYIR** |
CLI desteği | EVET | EVET |
Horizon desteği | EVET | HAYIR |
* Bunu yapmak için belirli bir yönlendirici üzerindeki tüm bağlantı noktalarına bir güvenlik duvarı grubu uygulanabilir.
** Bu özellik Ocata için planlanıyor.
Daha detaylı bilgi için, v1 yapılandırma kılavuzu veya `v2 yapılandırma kılavuzu <https://docs.openstack.org/ocata/networking-guide/fwaas-v2-scenario.html>`_na bakınız.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.