模塊8 OpenStack安全服務(wù)v1.0

OpenStack安全服務(wù)知識目標(biāo)學(xué)習(xí)OpenStack安全服務(wù)，需要掌握以下相關(guān)知識。安全組的基本概念、安全組規(guī)則和實現(xiàn)原理FWaaS的基本概念和實現(xiàn)原理能夠用命令行方式創(chuàng)建和管理安全組能夠用WebUI創(chuàng)建和管理安全組能夠用命令行方式管理FWaaS技能目標(biāo)目錄01安全組02FWaaS情景引入財務(wù)部門的云端服務(wù)部署在獨立網(wǎng)段，因其數(shù)據(jù)敏感性，優(yōu)速網(wǎng)絡(luò)公司要求嚴(yán)格控制訪問。小王學(xué)習(xí)了OpenStack的安全服務(wù)，包括安全組和FWaaS。安全組為單個虛擬機(jī)提供安全保障，但不能控制網(wǎng)段安全。因此，小王結(jié)合使用FWaaS，它能跨網(wǎng)段保護(hù)所有虛擬機(jī)。通過這兩種技術(shù)的配置，公司實現(xiàn)了對財務(wù)部門云端服務(wù)的嚴(yán)格訪問控制，降低了安全風(fēng)險，并為數(shù)字化轉(zhuǎn)型提供了網(wǎng)絡(luò)安全保障。01安全組OpenStack安全組簡介OpenStack安全組是用于控制實例的入站和出站網(wǎng)絡(luò)流量的虛擬防火墻規(guī)則，可以在Port級別實現(xiàn)對實例網(wǎng)絡(luò)通信的訪問控制。安全組采用默認(rèn)拒絕策略，只有符合規(guī)則的報文才能通過，即以白名單形式放通流量。OpenStack安全組規(guī)則是有狀態(tài)的，默認(rèn)情況下，所有安全組都包含一系列基本規(guī)則和防欺騙規(guī)則，具體如下所示。允許DHCPClient廣播和單播報文。允許DHCPServer發(fā)來的廣播或單播報文。丟棄實例發(fā)出的所有DHCPServer報文。允許入站/出站的ICMPv6多播監(jiān)聽發(fā)現(xiàn)消息、鄰居請求消息和鄰居發(fā)現(xiàn)消息。拒絕出站ICMPv6路由器通告。允許實例使用特定實例的源MAC地址和未指定IPv6地址(::)，發(fā)送ICMPv6多播監(jiān)聽報告和鄰居請求消息。允許非IP流量出站。允許使用實例端口的源MAC和IP地址，或者相關(guān)EUI-64鏈路生成的本地IPv6地址的出站流量通過。OpenStack默認(rèn)安全組OpenStack中每個項目都包含一個默認(rèn)安全組，如圖8-1所示，默認(rèn)安全組包含了四條規(guī)則，兩條入口方向的規(guī)則，兩條出口方向的規(guī)則，其規(guī)則意義如下。出口方向，允許任何協(xié)議、任何端口的IPv4或IPv6報文出去。入口方向，允許來自同一個安全組關(guān)聯(lián)的端口的任何協(xié)議、任何端口的IPv4或IPv6報文進(jìn)入。OpenStack自定義安全組用戶也可以自定義安全組，每個安全組里可以包括多個規(guī)則。其中，添加規(guī)則包括的字段如下：①規(guī)則：指定期望的規(guī)則模板或者使用定制規(guī)則。②方向：有“入口”和“出口”兩個選項。③打開端口：有“端口”“端口范圍”和“所有端口”三個選項。遠(yuǎn)程：表示允許通過該規(guī)則的流量來源，有“無類別域間路由（ClasslessInter-DomainRouting，CIDR）”和“安全組”兩個選項。OpenStack安全組特性在OpenStack中，一個安全組可以與多個實例關(guān)聯(lián)，同樣一個實例也可以關(guān)聯(lián)多個安全組。當(dāng)一個實例關(guān)聯(lián)多個安全組時，相當(dāng)于多個安全組規(guī)則集合的并集，這意味著實例將遵循所有關(guān)聯(lián)的安全組規(guī)則。當(dāng)其端口發(fā)出或者收到的報文匹配到其關(guān)聯(lián)的任意一個安全組中的某個規(guī)則時就放通該報文。由于OpenStack安全組采用白名單機(jī)制，只要規(guī)則中明確允許的數(shù)據(jù)流量就可以通過，與安全組規(guī)則的配置順序無關(guān)。所以，在實際配置安全組規(guī)則時，不需要關(guān)注規(guī)則的匹配順序，只需要確保規(guī)則集中包含了所有必要的規(guī)則即可。OpenStack實例網(wǎng)絡(luò)流量路徑OpenStackNeutron支持使用不同的驅(qū)動程序來實現(xiàn)虛擬網(wǎng)絡(luò)，以ModularLayer2（ML2）+VXLAN+LinuxBridge實現(xiàn)方案為例，其簡化的實例網(wǎng)絡(luò)流量路徑如下。在計算節(jié)點上，實例通過veth口tapeth0將數(shù)據(jù)包發(fā)送到Linux虛擬交換機(jī)brq1的veth口porttap上。Linux虛擬交換機(jī)brq1上的安全組由iptables實現(xiàn)，負(fù)責(zé)實例的安全防護(hù)。若允許數(shù)據(jù)包通過，Linux虛擬交換機(jī)brq1將數(shù)據(jù)包轉(zhuǎn)發(fā)給portVXLAN101接口。portVXLAN101接口使用VNI101對數(shù)據(jù)包進(jìn)行封裝，然后VXLAN底層的物理接口ens33，通過覆蓋網(wǎng)絡(luò)Overlay將數(shù)據(jù)包轉(zhuǎn)發(fā)到網(wǎng)絡(luò)節(jié)點。在網(wǎng)絡(luò)節(jié)點上，VXLAN底層物理節(jié)點ens33將數(shù)據(jù)包轉(zhuǎn)發(fā)給Linux虛擬交換機(jī)brq2的portVXLAN101接口。OpenStack實例網(wǎng)絡(luò)流量路徑OpenStackNeutron支持使用不同的驅(qū)動程序來實現(xiàn)虛擬網(wǎng)絡(luò)，以ModularLayer2（ML2）+VXLAN+LinuxBridge實現(xiàn)方案為例，其簡化的實例網(wǎng)絡(luò)流量路徑如下。portVXLAN101接口對數(shù)據(jù)包進(jìn)行解封。然后Linux虛擬交換機(jī)brq2通過veth口porttap1將數(shù)據(jù)包轉(zhuǎn)發(fā)給虛擬路由器qrouter上的veth口portqr。對于IPv4，虛擬路由器qrouter對數(shù)據(jù)包執(zhí)行SNAT操作更改IP地址，并通過veth口portqg將其發(fā)送到Linux虛擬交換機(jī)brq3的veth口porttap2。對于IPv6，路由器通過veth口portqg將數(shù)據(jù)包直接發(fā)送到Linux虛擬交換機(jī)brq3的veth口porttap2。Linux虛擬交換機(jī)brq3上端口portens34將數(shù)據(jù)包轉(zhuǎn)發(fā)到底層物理網(wǎng)絡(luò)接口ens34上。最后底層物理網(wǎng)絡(luò)接口ens34將帶有VLAN標(biāo)簽101數(shù)據(jù)包發(fā)送到外部物理網(wǎng)絡(luò)。iptables規(guī)則規(guī)則（rules）是網(wǎng)絡(luò)管理員預(yù)定義的數(shù)據(jù)包的過濾條件及目標(biāo)（target），當(dāng)數(shù)據(jù)包滿足條件時，就執(zhí)行目標(biāo)（target）中的操作，當(dāng)數(shù)據(jù)包不滿足條件時，則判斷下一條規(guī)則。規(guī)則中的條件常包含源地址、目的地址、傳輸協(xié)議（TCP、UDP、ICMP）和服務(wù)類型（HTTP、FTP、SMTP）等信息。規(guī)則中的目標(biāo)（target）包含接收（ACCEPT）、拒絕（REJECT）和丟棄（DROP）等操作。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。iptables鏈鏈（Chains）就是將多個規(guī)則從上到下組合起來的一個集合，規(guī)則按從上到下的順序依次進(jìn)行匹配。規(guī)則鏈名(也被稱為五個鉤子函數(shù)(hookfunctions))包括PREROUTING鏈、INPUT鏈、OUTPUT鏈、FORWARD鏈、POSTROUTING鏈。ChainsINPUT鏈：進(jìn)入本地主機(jī)防火墻內(nèi)部的數(shù)據(jù)包會應(yīng)用此鏈中的規(guī)則OUTPUT鏈：從本地主機(jī)經(jīng)過防火墻發(fā)出的數(shù)據(jù)包會應(yīng)用此鏈中的規(guī)則FORWARD鏈：需要iptables轉(zhuǎn)發(fā)的數(shù)據(jù)包會應(yīng)用此鏈中的規(guī)則PREROUTING鏈：到達(dá)本機(jī)并在路由轉(zhuǎn)發(fā)前的數(shù)據(jù)包會應(yīng)用此鏈中的規(guī)則POSTROUTING鏈：路由之后需要離開本機(jī)的數(shù)據(jù)包會應(yīng)用此鏈中的規(guī)則iptables表表（Tables）是多個鏈的集合。Iptables內(nèi)置了4個表，即Raw表、Mangle表、Nat表和Filter表。4個表的優(yōu)先級由高到低的順序為:Raw→Mangle→Nat→Filter。目前常用的是Nat表和Filter表。Raw可以讓數(shù)據(jù)包跳過鏈接跟蹤和NATMangle修改數(shù)據(jù)包中的內(nèi)容Nat實現(xiàn)地址轉(zhuǎn)換FilterIptables默認(rèn)使用的表，實現(xiàn)包過濾功能iptables工作流程OpenStack命令行CLI使用命令行CLI方式管理安全組，需要在控制節(jié)點上執(zhí)行OpenStack命令。命令作用openstacksecuritygrouplist列出安全組openstacksecuritygroupcreate創(chuàng)建安全組openstacksecuritygroupdelete刪除安全組openstacksecuritygroupset更新安全組openstacksecuritygroupshow查看某安全組的詳細(xì)信息openstacksecuritygrouprulelist列出安全組規(guī)則openstacksecuritygrouprulecreate創(chuàng)建安全組規(guī)則openstacksecuritygroupruledelete刪除安全組規(guī)則openstacksecuritygroupruleset更新安全組規(guī)則openstacksecuritygroupruleshow查看安全組規(guī)則詳細(xì)信息OpenStackWebUI在控制節(jié)點的瀏覽器中輸入URL地址http://controller/dashboard/project/security-groups/，按Enter鍵，進(jìn)入安全組管理頁面。02FWaaSOpenStackFWaaS簡介FWaaS是OpenStack中一種作用于子網(wǎng)級別的安全策略，不是OpenStack必備服務(wù)，用戶可根據(jù)需求自行決定是否部署使用，在實際場景中，防火墻主要用于防止外來的攻擊，因此FWaaS通常用于過濾進(jìn)入特定子網(wǎng)的流量，從而實現(xiàn)對整個子網(wǎng)內(nèi)所有虛擬機(jī)的安全防護(hù)。然而，F(xiàn)WaaS并不具備管理同子網(wǎng)內(nèi)不同虛擬機(jī)之間互訪流量的能力。FWaaSv2在整個OpenStack的發(fā)展歷程中，F(xiàn)WaaS（防火墻即服務(wù)）經(jīng)歷了v1和v2兩個版本的迭代。在OpenStack的Newton版本中，F(xiàn)WaaSv1被棄用，并在隨后的Stein版本中完全移除。相較之下，F(xiàn)WaaSv2提供了更為靈活和精細(xì)化的服務(wù)。在v2版本中，防火墻功能由入口策略和出口策略共同實現(xiàn)，這使得防火墻的概念得以升級為防火墻組。FWaaSv2的核心概念包括防火墻組、防火墻策略和防火墻規(guī)則。防火墻組（firewallgroup）：租戶能夠創(chuàng)建和管理的防火墻資源，使用時需與某個防火墻策略關(guān)聯(lián)并將策略應(yīng)用為入口或者出口策略。在實際情況中，入口（ingress）策略的應(yīng)用更為普遍。防火墻策略（firewallpolicy）：是規(guī)則的有序集合，防火墻會按策略內(nèi)的規(guī)則順序匹配并應(yīng)用規(guī)則。防火墻規(guī)則（firewallrule）：規(guī)則指定了一組屬性（例如端口范圍、協(xié)議和IP地址），構(gòu)成匹配條件以及匹配流量時要采取的操作（允許或拒絕）。Iptables驅(qū)動下FWaaSv2基于Iptables實現(xiàn)的FWaaSv2允許用戶自定義防火墻規(guī)則，進(jìn)而應(yīng)用于路由器的特定端口上。應(yīng)用后，這些防火墻規(guī)則將轉(zhuǎn)化為Iptables規(guī)則，對端口所連接的子網(wǎng)起到保護(hù)作用。值得一提的是，F(xiàn)WaaSv2通過實時監(jiān)控API的更新，并同步調(diào)整Iptables規(guī)則，實現(xiàn)了防火墻規(guī)則的實時性動態(tài)管理。用戶可以在不中斷網(wǎng)絡(luò)服務(wù)的前提下，隨時根據(jù)需要調(diào)整防火墻規(guī)則，這一特性使得FWaaSv2在云環(huán)境中表現(xiàn)出極高的靈活性和強(qiáng)大的網(wǎng)絡(luò)安全治理能力。防火墻的實現(xiàn)機(jī)制依賴于配置文件“fwaas_driver.ini”中所指定的驅(qū)動（driver）OpenStack命令行CLI使用命令行CLI方式管理FWaaS時，需在控制節(jié)點上執(zhí)行openstack命令。命令作用命令作用openstack

firewallgroupcreate創(chuàng)建防火墻組openstack

firewallgrouppolicyremoverule防火墻策略移除規(guī)則openstack

firewallgroupdelete刪除防火墻組openstack

firewallgrouppolicyset設(shè)置防火墻策略屬性openstack

firewallgrouplist列出防火墻組openstack

firewallgrouppolicyunset取消設(shè)置防火墻策略屬性openstack

firewallgroupset設(shè)置防火墻組屬性openstack

firewallgrouppolicyshow查看特定防火墻策略詳細(xì)信息openstack

firewallgroupunset取消防火墻組屬性openstack

firewallgrouprulecreate創(chuàng)建防火墻規(guī)則openstack

firewallgroupshow查看特定防火墻組詳細(xì)信息openstack

firewallgroupruledelete刪除防火墻規(guī)則openstack

firewallgrouppolicycreate創(chuàng)建防火墻策略openstack

firewallgrouprulelist列出防火墻規(guī)則openstack

firewallgrouppolicydelete刪除防火墻策略openstack

firewallgroupruleset設(shè)置防火墻規(guī)則屬性openst