Hizmet Olarak Güvenlik Duvarları (FWaaS) v1 senaryosu

Hizmet Olarak Güvenlik Duvarları (FWaaS) v1 senaryosu

FWaaS v1’i etkinleştir

FWaaS yönetim seçenekleri Gösterge Paneli’nde de mevcuttur.

  1. /etc/neutron/neutron.conf dosyasında FWaaS eklentisini etkinleştirin:

    service_plugins = firewall
    
    [service_providers]
    # ...
    service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default
    
    [fwaas]
    driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver
    enabled = True
    

    Not

    Ubuntu üzerinde, /etc/neutron/neutron.conf yerine /etc/neutron/fwaas_driver.ini dosyasındaki [fwaas] bölümünü düzenleyin.

  2. L3 ajanı için FWaaS eklentisini yapılandırın.

    l3_agent.ini dosyasının AGENT bölümünde, FWaaS uzantısının yüklenmiş olduğundan emin olun:

    [AGENT]
    extensions = fwaas
    

    Ajan sürümünü ve sürücüsünü belirtmek için /etc/neutron/neutron.conf dosyasındaki FWaaS bölümünü düzenleyin:

    [fwaas]
    agent_version = v1
    driver = iptables
    enabled = True
    conntrack_driver = conntrack
    
  3. Veri tabanında gerekli tabloları oluşturun:

    # neutron-db-manage --subproject neutron-fwaas upgrade head
    
  4. Yerel ayarlar dosyasında (RHEL ve CentOS’ta local_settings ve Ubuntu’da local_settings.py adlı) güvenlik duvarı seçeneğini etkinleştirin):

    OPENSTACK_NEUTRON_NETWORK = {
        # ...
        'enable_firewall' = True,
        # ...
    }
    

    Not

    Varsayılan olarak, enable_firewall seçenek değeri yerel ayarlar dosyasında ``True``dir.

  5. Ayarları uygulamak için neutron-l3-agent ve neutron-server servislerini yeniden başlatın.

Servis-olarak-Güvenlik-Duvarı v1’i yapılandır

Güvenlik duvarı kurallarını oluşturun ve bunları içeren bir ilke oluşturun. Ardından, ilkeyi uygulayan bir güvenlik duvarı oluşturun.

  1. Bir güvenlik duvarı kuralı oluştur:

    $ neutron firewall-rule-create --protocol {tcp,udp,icmp,any} \
      --source-ip-address SOURCE_IP_ADDRESS \
      --destination-ip-address DESTINATION_IP_ADDRESS \
      --source-port SOURCE_PORT_RANGE --destination-port DEST_PORT_RANGE \
      --action {allow,deny,reject}
    

    Ağ istemcisi bir protokol değeri gerektirir. Eğer kural protokol bağımsızsa, any değerini kullanabilirsiniz.

    Not

    Kaynak veya hedef IP adresi aynı IP sürümünden (örneğin, IPv6) değilse, komut bir hata döndürür.

  2. Bir güvenlik duvarı politikası oluşturun:

    $ neutron firewall-policy-create --firewall-rules \
      "FIREWALL_RULE_IDS_OR_NAMES" myfirewallpolicy
    

    Güvenlik duvarı kuralı kimliklerini veya adları boşluklarla ayırın. Kuralları belirtme sırası önemlidir.

    Herhangi bir kural olmadan bir güvenlik duvarı ilkesi oluşturabilir ve daha sonra aşağıdaki gibi kurallar ekleyebilirsiniz:

    • Birden fazla kural eklemek için, güncelle işlemini kullanın.
    • Tek bir kural eklemek için kural-ekle işlemini kullanın.

    Daha fazla detay için, OpenStack Komut Satırı Arayüz Kılavuzunda Ağ komut satırı istemcisi bölümüne bakınız.

    Not

    FWaaS her zaman her politikanın en düşük önceliğine deny all kuralını varsayılan olarak ekler. Sonuç olarak, hiç kural içermeyen bir güvenlik duvarı politikası tüm trafiği varsayılan olarak engeller.

  3. Bir güvenlik duvarı oluştur:

    $ neutron firewall-create FIREWALL_POLICY_UUID
    

    Not

    Güvenlik duvarı, bir Ağ yönlendirici oluşturana ve ona bir arabirim ekleyene kadar PENDING_CREATE durumunda kalır.

Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.