理解 Neutron FWaaS - 天天5分钟玩转 OpenStack（117）

前面咱们学习了安全组，今天学习另外一个与安全相关的服务 -- FWaaS。

理解概念

Firewall as a Service（FWaaS）是 Neutron 的一个高级服务。
用户能够用它来建立和管理防火墙，在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。

传统网络中的防火墙通常放在网关上，用来控制子网之间的访问。 FWaaS 的原理也同样，是在 Neutron 虚拟 router 上应用防火墙规则，控制进出租户网络的数据。

FWaaS 有三个重要概念： Firewall、Policy 和 Rule。

Firewall
租户可以建立和管理的逻辑防火墙资源。 Firewall 必须关联某个 Policy，所以必须先建立 Policy。

Firewall Policy
Policy 是 Rule 的集合，Firewall 会按顺序应用 Policy 中的每一条 Rule。

Firewall Rule
Rule 是访问控制的规则，由源与目的子网 IP、源与目的端口、协议、allow 或 deny 动做组成。
例如，咱们能够建立一条 Rule，容许外部网络经过 ssh 访问租户网络中的 instance，端口为 22。

与 FWaaS 容易混淆的概念是安全组（Security Group）。

安全组的应用对象是虚拟网卡，由 L2 Agent 实现，好比 neutron_openvswitch_agent 和 neutron_linuxbridge_agent。
安全组会在计算节点上经过 iptables 规则来控制进出 instance 虚拟网卡的流量。
也就是说：安全组保护的是 instance。

FWaaS 的应用对象是 router，能够在安全组以前控制外部过来的流量，可是对于同一个 subnet 内的流量不做限制。
也就是说：FWaaS 保护的是 subnet。

因此，能够同时部署 FWaaS 和安全组实现双重防御。

启用 FWaaS

由于 FWaaS 是在 router 中实现的，因此 FWaaS 没有单独的 agent。 已有的 L3 agent 负责提供全部 FWaaS 功能。

要启用 FWaaS，必须在 Neutron 的相关配置文件中作些设置。

配置 firewall driver

Neutron 在 /etc/neutron/fwaas_driver.ini 文件中设置 FWaaS 使用的 driver。 以下图所示：

这里 driver 为 iptables。若是之后支持更多的 driver，能够在这里替换。

配置 Neutron

在 Neutron 配置文件 /etc/neutron/neutron.conf  中启用 FWaaS plugin。

配置完毕！下节咱们开始建立 Firewall。