防火墙即服务 (FWaaS)¶
防火墙即服务 (FWaaS) 插件将防火墙应用于 OpenStack 对象,例如项目、路由器和路由器端口。
OpenStack 防火墙的核心概念是防火墙策略和防火墙规则。策略是规则的有序集合。规则指定构成匹配标准的属性集合(例如端口范围、协议和 IP 地址)以及对匹配流量采取的操作(允许或拒绝)。策略可以公开,以便在项目之间共享。
防火墙的实现方式因使用的驱动程序而异。例如,iptables 驱动程序使用 iptable 规则实现防火墙。OpenVSwitch 驱动程序使用流表中的流条目实现防火墙规则。
FWaaS v2¶
较新的 FWaaS 实现 v2 提供了更精细的服务。防火墙的概念已被防火墙组取代,以表明防火墙由两个策略组成:入站策略和出站策略。防火墙组不是在路由器级别(路由器上的所有端口)应用,而是在端口级别应用。目前,可以指定路由器端口。对于 Ocata,也可以指定虚拟机端口。
FWaaS v1¶
FWaaS v1 在 Newton 周期中已被弃用,并在 Stein 周期中完全删除。
FWaaS 功能矩阵¶
下表显示了 FWaaS v2 的功能。
特性 |
受支持 |
|---|---|
支持路由器的 L3 防火墙 |
否* |
支持路由器端口的 L3 防火墙 |
是 |
支持 L2 防火墙(虚拟机端口) |
是 |
CLI 支持 |
是 |
Horizon 支持 |
是 |
* 可以将防火墙组应用于给定路由器上的所有端口,以达到此效果。
有关更多信息,请参阅 FWaaS v2 配置指南。
