Neutron：Firewall as a Service（FWaaS）

Posted 2021-10-31 lsw-blogs

 

用户可以用它来创建和管理防火墙，在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。

 

传统网络中的防火墙一般放在网关上，用来控制子网之间的访问。 FWaaS 的原理也一样，是在 Neutron 虚拟 router 上应用防火墙规则，控制进出租户网络的数据。

 

FWaaS 有三个重要概念： Firewall、Policy 和 Rule。

Firewall

租户能够创建和管理的逻辑防火墙资源。 Firewall 必须关联某个 Policy，因此必须先创建 Policy。

Firewall Policy

Policy 是 Rule 的集合，Firewall 会按顺序应用 Policy 中的每一条 Rule。

Firewall Rule

Rule 是访问控制的规则，由源与目的子网 IP、源与目的端口、协议、allow 或 deny 动作组成。

例如，我们可以创建一条 Rule，允许外部网络通过 ssh 访问租户网络中的 instance，端口为 22。

 

 

与 FWaaS 容易混淆的概念是安全组（Security Group）。

安全组的应用对象是虚拟网卡，由 L2 Agent 实现，比如 neutron_openvswitch_agent 和 neutron_linuxbridge_agent。

 

安全组会在计算节点上通过 iptables 规则来控制进出 instance 虚拟网卡的流量。

也就是说：安全组保护的是 instance。

 

FWaaS 的应用对象是 router，可以在安全组之前控制外部过来的流量，但是对于同一个 subnet 内的流量不作限制。

也就是说：FWaaS 保护的是 subnet。

所以，可以同时部署 FWaaS 和安全组实现双重防护。

 

启用 FWaaS

因为 FWaaS 是在 router 中实现的，所以 FWaaS 没有单独的 agent。 已有的 L3 agent 负责提供所有 FWaaS 功能。

要启用 FWaaS，必须在 Neutron 的相关配置文件中做些设置。

 

配置 firewall driver

Neutron 在 /etc/neutron/fwaas_driver.ini 文件中设置 FWaaS 使用的 driver。 如下图所示：

这里 driver 为 iptables。如果以后支持更多的 driver，可以在这里替换。

 

配置 Neutron

在 Neutron 配置文件 /etc/neutron/neutron.conf  中启用 FWaaS plugin。

配置完毕！下节我们开始创建 Firewall。

 

---

 

在我们的实验环境中，有两个 instance： cirros-vm1（172.16.100.3） 和 cirros-vm2（172.16.101.3）。

cirros-vm1 和 cirros-vm2 分别位于网络 vlan100 和 vlan101。 vlan100 和 vlan101 之间由虚拟路由器 test_router 连接。 网络拓扑如下：

 

在 test_router 没有应用任何 FWaaS 的情况下，cirros-vm1 可以通过 ping 和 ssh 跨网络访问 cirros-vm2。

 

 

下面我们将进行如下实验：

1. 创建一个不包含任何 rule 的 firewall “test_firewall” 并应用到 test_router。

此时 FWaaS 生效，默认情况下会阻止任何跨子网的流量。 

2. 创建 rule 允许 ssh，并将其添加到 test_firewall。此时 cirros-vm1 应该能够 ssh cirros-vm2。

 

 

应用无 rule 的 firewall

点击菜单 Project -> Network -> Firewalls，打开 Firewall Policies 标签页面。 目前没有定义任何 Policie。

 

点击按钮，显示Policy 创建页面。

将 Policy 命名为 “test_policy”，直接点击 “Add” 按钮。

 

这样我们创建的 test_policy 不包含任何 Rule。

 

进入 “Firewalls” 标签页，点击 “Create Firewall” 按钮

将新的 Firewall 命名为 “test_firewall”，并关联 “test_policy”。

 

在 “Routers” 标签页中选择 “test_router”。 点击 “Add” 创建 firewall。

 

等待 test_firewall 的 Status 变为 “Active”，此时 test_router 已经成功应用 test_policy。

 

 

可以通过 iptables-save 查看 router namespace 的 iptables 规则

 

为了让大家了解底层到底发生了什么变化，下面用 vimdiff 显示了应用 test_firewall 前后 iptables 规则的变化。

 

下面我们来分析一下这些规则。

route 在转发数据包时会使用 chain：

-A FORWARD -j neutron-***-agen-FORWARD

neutron-***-agen-FORWARD 的规则如下：

-A neutron-***-agen-FORWARD -o qr-+ -j neutron-***-agen-iv4e85f4601  

-A neutron-***-agen-FORWARD -i qr-+ -j neutron-***-agen-ov4e85f4601  

-A neutron-***-agen-FORWARD -o qr-+ -j neutron-***-agen-fwaas-defau  

-A neutron-***-agen-FORWARD -i qr-+ -j neutron-***-agen-fwaas-defau

 

我们以第一条为例，其含义是：从 router namespace 任何一个 qr-* interface 发出

的流量都会应用 chain neutron-***-agen-iv4e85f4601，该 chain 定义如下：

-A neutron-***-agen-iv4e85f4601 -m state --state INVALID -j DROP  

-A neutron-***-agen-iv4e85f4601 -m state --state RELATED,ESTABLISHED -j ACCEPT

其规则为： 

1. 如果数据包的状态为 INVALID，则 DROP。 

2. 如果数据包的状态为 RELATED 或 ESTABLISHED，则 ACCEPT。

 

其他正常传输的数据怎么处理呢？ 回到 neutron-***-agen-FORWARD chain 的下一条关于 router 外出数据的规则：

-A neutron-***-agen-FORWARD -o qr-+ -j neutron-***-agen-fwaas-defau

neutron-***-agen-fwaas-defau 内容为：

-A neutron-***-agen-fwaas-defau -j DROP

可见，数据会被丢弃。 同样的道理，router 上所有进入 qr-* interface 的数据也会被丢弃。

其结论是：在没有定义任何 firewall rule 的情况下，进出 router 的数据包都会被丢弃。

 

ping 和 ssh 测试表明目前 cirros-vm1 确实已经无法与 cirros-vm2 通信。

 

 

下面我们添加一条 firewall rule：允许 ssh。

在 Firewall Rules 标签页面点击 “Add Rule” 按钮。

 

将新 rule 命名为 “allow ssh”， Protocal 选择 “TCP”， Action 为 “ALLOW”， Destination Port/Port Range 为 “22”，

点击 “Add” ，rule 创建成功。

 

 

接下来将 rule 添加到 policy 中。

 

点击 Firewall Policies 标签页面，然后点击 “test_policy” 后面的 “Insert Rule” 按钮。

在下拉框中选择 Rule “allow ssh”，点击 “Save Changes”。

 

可以看到，“allow ssh” 已经成功添加到 “test_policy” 中。

 

 

通过 vimdiff 查看 router namespace 的 iptables-save 发生了什么变化。

iptables 添加了两条规则：

-A neutron-***-agen-iv4e85f4601 -p tcp -m tcp --dport 22 -j ACCEPT

-A neutron-***-agen-ov4e85f4601 -p tcp -m tcp --dport 22 -j ACCEPT

其含义是进出 router 的 tcp 数据包，如果目的端口为 22（ssh）ssh，则一律 ACCEPT。

 

测试一下，cirros-vm1 已经可以 ssh cirros-vm2，但 ping 还是不通，这与预期一致。

“allow ssh” 已经起作用。 同时我们也发现，firewall rule 对进出流量同时生效，不区分方向。

小节

 

 

FWaaS 用于加强 Neutron 网络的安全性，与安全组可以配合使用。 

下面将 FWaaS 和安全组做个比较。

相同点： 

1. 底层都是通过 iptables 实现。

 

不同点： 

1. FWaaS 的 iptables 规则应用在 router 上，保护整个租户网络；

安全组则应用在虚拟网卡上，保护单个 instance。

2. FWaaS 可以定义 allow 或者 deny 规则；安全组只能定义 allow 规则。

3. 目前 FWaaS 规则不能区分进出流量，对双向流量都起作用；

安全组规则可以区分 ingress 和 egress。