Firewall-as-a-Service (FWaaS)¶
Firewall-as-a-Service (FWaaS) plug-in memberlakukan firewall untuk objek OpenStack seperti proyek, router, dan port router.
Catatan
Kami mengantisipasi ini untuk memperluas ke port VM dalam siklus Ocata.
Konsep pusat dengan firewall OpenStack adalah pengertian dari kebijakan firewall dan aturan firewall. Kebijakan adalah koleksi aturan yang diperintahkan. Aturan menentukan koleksi atribut (seperti rentang port, protokol, dan alamat IP) yang merupakan kriteria yang cocok dan suatu tindakan untuk melakukan (mengizinkan atau menolak) pada lalu lintas yang cocok. Sebuah kebijakan dapat dibuat publik, sehingga bisa dibagi di seluruh proyek.
Firewall diimplementasikan dalam berbagai cara, tergantung pada driver yang digunakan. Sebagai contoh, driver iptables menerapkan firewall menggunakan aturan iptable. Driver OpenVSwitch menerapkan aturan firewall menggunakan entri aliran dalam flow table. Driver firewall Cisco memanipulasi perangkat NSX.
FWaaS v1¶
Pelaksanaan FWaaS original, v1, memberikan perlindungan untuk router. Ketika firewall diterapkan untuk router, semua port internal dilindungi.
Diagram berikut menggambarkan perlindungan FWaaS v1. Ini menggambarkan aliran masuknya (ingress) dan lalu lintas jalan keluar (egress) untuk instance VM2:
FWaaS v2¶
Penerapan FWaaS yang lebih baru, v2, menyediakan layanan yang jauh lebih rinci. Gagasan firewall telah diganti dengan kelompok firewall untuk menunjukkan bahwa firewall terdiri dari dua kebijakan: kebijakan masuknya (ingress) dan kebijakan egress. Sekelompok firewall diterapkan tidak pada tingkat router (semua port pada router) tetapi di tingkat port. Saat ini, port router dapat ditentukan. Untuk Ocata, port VM juga dapat ditentukan.
FWaaS v1 dibandingkan dengan v2¶
Tabel berikut membandingkan fitur v1 dan v2.
Fitur |
v1 | v2 |
|---|---|---|
Mendukung L3 firewall untuk router |
YES | NO* |
Mendukung L3 firewall untuk port router |
NO | YES |
Mendukung L2 firewall (port VM) |
NO | NO** |
Dukungan CLI (command-line interface) |
YES | YES |
Dukungan Horizon |
YES | NO |
* Sekelompok firewall dapat diterapkan ke semua port pada router yang diberikan supaya efek ini.
** Fitur ini direncanakan untuk Ocata.
Untuk informasi lebih lanjut, lihat v1 configuration guide or v2 configuration guide.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.