2023學年完整公開課版虛擬防火墻1_第1頁
2023學年完整公開課版虛擬防火墻1_第2頁
2023學年完整公開課版虛擬防火墻1_第3頁
2023學年完整公開課版虛擬防火墻1_第4頁
2023學年完整公開課版虛擬防火墻1_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

虛擬防火墻12傳統(tǒng)防火墻的定義防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡的安全??傮w上分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。使用Firewall的益處如下:(1)保護脆弱的服務。通過過濾不安全的服務,F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如,F(xiàn)irewall可以禁止nis、nfs服務通過,F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。(2)控制對系統(tǒng)的訪問。Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,F(xiàn)irewall允許外部訪問特定的MailServer和WebServer。(3)集中的安全管理。Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理,在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng),而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。(4)增強的保密性。使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息,如Figer和dns。(5)記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)。Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊,提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù),并且,F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù),來判斷可能的攻擊和探測。(6)策略執(zhí)行。Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時,網(wǎng)絡安全取決于每臺主機的用戶。

3傳統(tǒng)防火墻的作用防火墻在網(wǎng)絡系統(tǒng)中的作用概括為:1.防火墻能有效地防止外來的入侵,它在網(wǎng)絡系統(tǒng)中的作用是:2.控制進出網(wǎng)絡的信息流向和信息包;3.提供使用和流量的日志和審計;4.隱藏內(nèi)部IP地址及網(wǎng)絡結(jié)構(gòu)的細節(jié);5.提供vpn功能。4虛擬防火墻熟悉防火墻的都知道,防火墻一般放在網(wǎng)關上,用來隔離子網(wǎng)之間的訪問。因此,防火墻即服務(FireWallasaService)也是在網(wǎng)絡節(jié)點上(具體說來是在路由器命名空間中)來實現(xiàn)。目前,OpenStack中實現(xiàn)防火墻還是基于Linux系統(tǒng)自帶的iptables,所以大家對于其性能和功能就不要抱太大的期望了。一個可能混淆的概念是安全組(SecurityGroup),安全組的對象是虛擬網(wǎng)卡,由L2Agent來實現(xiàn),比如neutron_openvswitch_agent和neutron_linuxbridge_agent,會在計算節(jié)點上通過配置iptables規(guī)則來限制虛擬網(wǎng)卡的進出訪問。防火墻可以在安全組之前隔離外部過來的惡意流量,但是對于同個子網(wǎng)內(nèi)部不同虛擬網(wǎng)卡間的通訊不能過濾(除非它要跨子網(wǎng))??梢酝瑫r部署防火墻和安全組實現(xiàn)雙重防護。5典型場景典型的場景,租戶創(chuàng)建了一個網(wǎng)絡,并在其上分配了一個子網(wǎng)10.0.0.0/24,默認情況下,其它子網(wǎng)將不允許訪問該子網(wǎng)。租戶試圖通過防火墻規(guī)則來允許外部網(wǎng)絡對內(nèi)部子網(wǎng)虛擬機22端口的訪問。+OpenStack的FWaaS實現(xiàn)中有三個重要概念:FirewallPolicyRule其中,F(xiàn)irewall會綁定到某個Policy(因此必須先創(chuàng)建Policy之后才能創(chuàng)建一個Firewall)。6PolicyPolicy中可以包括若干條Rule。7RuleRul

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論