Firewall-as-a-Service(FWaaS)插件将防火墙应用于OpenStack对象,如项目,路由器和路由器端口。
OpenStack防火墙的核心概念是防火墙策略和防火墙规则的概念。 策略是有序的规则集合。 规则指定构成匹配标准的属性(例如端口范围,协议和IP地址)的集合,以及对匹配的流量采取(允许或拒绝)的操作。 策略可以公开,因此可以跨项目共享。
防火墙以各种方式实现,具体取决于所使用的驱动程序。 例如,iptables驱动程序使用iptable规则来实现防火墙。 OpenVSwitch驱动程序使用流表中的流条目来实现防火墙规则。 Cisco防火墙驱动程序操作NSX设备。
原来的FWaaS实现v1,为路由器提供保护。 当防火墙应用于路由器时,所有内部端口都受到保护。
下图描述了FWaaS v1保护。 它说明了VM2实例的入口和出口流量:
较新的FWaaS实现v2,提供了更精细的服务。 防火墙的概念已被防火墙组替代,以指示防火墙由两个策略组成:入口策略和出口策略。 防火墙组不应用于路由器级别(路由器上的所有端口),而是应用于端口级别。 目前,可以指定路由器端口。 对于Ocata,还可以指定VM端口。
| 功能 | v1 | v2 |
|---|---|---|
| 支持路由器的L3防火墙 | yes | no |
| 支持路由器端口的L3防火墙 | no | yes |
| 支持L2防火墙(VM端口) | no | no |
| 客户端命令行支持 | yes | yes |
| Horizon支持 | yes | no |