Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

基于主机的防火墙

本主题讨论 Contrail 网络 2003 版中引入的基于主机的防火墙功能。

基于主机的防火墙概述

Contrail 网络 2003 版为基于主机的防火墙功能提供了 测试版 支持,该功能允许使用 cSRX 设备创建新一代防火墙。新一代防火墙提供了基于应用程序过滤数据包的能力。它们在应用级别提供深度包检测以及入侵检测和防御功能。

过去,vRouter 一直支持创建常规第 4 层防火墙策略。为了创建第 7 层应用级防火墙策略,Contrail 网络使用服务链。但是,服务链仅适用于虚拟网络间流量的情况,不适用于虚拟网络内流量。基于主机的防火墙功能为在同一虚拟网络以及不同网络中始发和结束的流量提供新一代防火墙功能。它使用线路模式下的颠簸,其中防火墙实例不会更改数据包格式或第 2 层标头,而是对数据包应用第 7 层策略。

此外,基于主机的防火墙功能使用基于标记的策略来引导流量。标记是应用防火墙意图的一种简单直观的方法,能够跨越多个 VN,更好地扩展,并且可以在 VMI 级别附加,而不是服务链。您可以使用基于标记的策略将流量引导至基于主机的防火墙实例。策略仅用于引导特定流量,因为基于主机的防火墙实例需要相当数量的计算资源。

此外,基于主机的防火墙提供更接近工作负载的新一代防火墙功能,并可与第三方防火墙功能集成。

部署基于主机的防火墙

执行以下步骤以部署基于主机的防火墙。在此示例中,我们使用 Kubernetes 作为编排平台,因为 Kubernetes 提供了在选定计算节点上实例化基于主机的防火墙实例的灵活性。步骤的高级列表如下所示:

先决条件

使用 contrail-ansible 部署程序或 Contrail 命令安装 Contrail-Kubernetes 安装程序。请参阅 配置 Kubernetes 群集或使用 Contrail 命令 UI 安装独立的 Kubernetes Contrail 群集

拓扑

请考虑以下示例 Contrail-Kubernetes 拓扑和 instances.yml 文件。

图 1:Contrail-Kubernetes 拓扑 Sample Contrail-Kubernetes Topology示例

示例 instances.yaml 文件

部署说明

程序

分步过程

部署基于主机的防火墙。

  1. 在 Kubernetes 中创建命名空间。命名空间在 Contrail 中创建等效项目。

    分步过程

    1. 创建命名空间。

    2. 在命名空间上启用隔离。

    3. 验证命名空间的创建。

  2. 为基于主机的防火墙功能标记计算节点。

    分步过程

    1. 获取计算节点列表。

    2. 选择基于主机的防火墙功能的节点并对其进行标记。

      其中 server 是 Kubernetes 节点名称, hbf 是标签。

  3. 在之前创建的命名空间中创建 Kubernetes 机密对象以拉取 cSRX 映像。

  4. hbs在以前创建的命名空间中创建对象。

    分步过程

    1. 创建包含以下内容的 python 文件,并在 config_api Docker 容器上使用以下命令。

  5. 为基于主机的防火墙实例创建守护程序集。默认情况下,基于主机的防火墙实例在所有计算节点上运行。您可以选择在特定计算节点上运行基于主机的防火墙实例,只需标记它们,如 2.b 所示。基于主机的防火墙实例有三个接口。流量流入左侧接口,防火墙功能对数据包执行,流量流出右侧接口。管理接口是默认的容器网络。

    分步过程

    1. 生成 ds.yaml 文件(如以下示例所示),以使用 cSRX 容器映像创建守护程序集。系统会自动创建左右接口,并使用 hbs “左”和“右”链接到对象,以便通过 cSRX 设备引导为基于主机的防火墙标记的流量。请注意,Kubernetes 对象的名称和值可以根据您的要求进行更改。

    2. 创建 Kubernetes 对象,进而创建一个 cSRX Pod,在每个命名空间的每个计算节点上具有左右接口。

    3. 验证对象、守护程序集、网络连接定义和 cSRX 容器。

    4. 使用以下配置在每个计算节点上配置守护程序集的 cSRX Pod。

  6. 使用 vnc API 或通过 Contrail 命令在左右接口之间创建网络策略。

    只有虚拟网络间流量需要网络策略,虚拟网络内流量不需要网络策略。

  7. 创建防火墙策略并为防火墙规则启用基于主机的防火墙。

    创建标记、应用程序策略集 (APS),以及在项目范围的规则下创建防火墙策略和防火墙规则。在防火墙规则上启用基于主机的防火墙,并将 host_based_service = True。

  8. 当流量通过基于主机的防火墙时,相应计算节点上的 cSRX 将创建基于主机的防火墙流和相应的会话。

版本历史记录表
释放
描述
2003
Contrail 网络 2003 版为基于主机的防火墙功能提供了 测试版 支持,该功能允许使用 cSRX 设备创建新一代防火墙。