配置防火墙即服务（FWaaS）插件

瞻博网络 ML2 和 L3 插件的基础上，使用防火墙即服务（FWaaS）插件瞻博网络构建。Neutron 能够在 SRX 和多台设备上配置vSRX策略。在 OpenStack 中，租户可以创建防火墙并为其分配安全策略。安全策略是一组防火墙规则。图 1 说明了防火墙规则、防火墙策略和防火墙之间的关系。

图 1：防火墙策略

防火墙规则 - 定义源地址和端口、目标地址和端口、协议以及要针对匹配信息流采取的操作。

防火墙策略 - 防火墙规则集合

防火墙 - 表示防火墙设备。

启用 FwaaS 插件时，SRX 或 vSRX 应用作路由器和防火墙。管理员在设置拓扑时必须确保这样做。

支持的设备

SRX 和 vSRX 系列设备

插件配置

注意：

在进一步说明之前，请确保满足以下先决条件：

已设置拓扑
- 设备将被添加到jnpr_devices表中
- 将计算→物理网络别名映射添加到jnpr_nic_mapping表中。
- 计算→交换机连接在虚拟jnpr_switchport_mapping中捕获（L2 VLAN 编排需要）
L2 插件已设置。如果要使用第三方 ML2 插件，此选项是可选的。
L3 插件设置为将 SRX/vSRX用作路由器。

要配置 Neutron 瞻博网络 FwaaS 服务插件：

更新 Neutron 配置文件文件 /etc/neutron/neutron.conf ，service_plug附加于以下项：

向拓扑中添加防火墙：

定义插件在 SRX 设备上创建 RVIS 的下行链路中继端口。

使用连接到聚合交换机的 SRX 设备的端口更新插件数据库：

例如：

将防火墙分配给租户，或者作为所有租户的默认设置：
要在所有未为其分配防火墙的租户中将防火墙分配为默认设置，请使用以下命令：
启用 Horizon 以显示 Firewall 面板。

要显示 Horizon 用户界面中 Networks 组下的防火墙面板 /usr/share/openstack-dashboard/openstack_dashboard/local/local_settings.py，请打开并更新以下配置：

enable_firewall: True
完成 FWaaS 插件配置后，重新启动以下操作：
- Neutron-Server
  - Ubuntu – service neutron-server 重启
  - CentOS – systemctl restart neutron-server
- Apache（重新启动 Horizon）
  - Ubuntu – 服务 apache2 重启
  - CentOS – systemctl 重启 httpd
从 Horizon GUI 创建防火墙规则并将其关联至策略。创建防火墙，然后为其分配路由器和防火墙策略。
在 SRX 上，可以验证每个路由实例的防火墙区域以及区域内推送的相应策略。

配置专用外围防火墙

各租户的要求因防火墙的性能和成本而异。例如，有一个专用的防火墙来提高性能和合规性，一个通过共享网络资源实现的成本较低的防火墙，或者一个能全面管理网络设备的防火墙，以便利用设备提供的高级服务。为了满足每个租户的不同要求，云提供商必须拥有将专用或共享网络资源分配给租户的资源的资源。

通过使用 FwaaS 瞻博网络，服务提供商可以将专用或共享资源（物理或虚拟）分配给租户。

例如，服务提供商可根据租户的要求创建和配置防火墙：

经济 - 为一组租户vSRX一个共享 SRX 或组
白银 - 按租户分配一个专用 SRX vSRX或每个租户使用默认规格
黄金 - 分配高端 SRX 或 vSRX

图 2：防火墙分配

如图 2 所示，您可以将 SRX/vSRX专用于一个租户或一组租户。此过程对租户是透明的，使用随附的 CLI 工具以及瞻博网络 OpenStack Neutron 插件完成。

要向租户分配专用 SRX 群集：

将主要 SRX 设备分配给租户：

定义 VRRP 群集并分配一个名称：

配置高可用性和虚拟路由器冗余协议

FwaaS 插件支持高可用性与虚拟路由器冗余协议（高可用性 VRRP）。要使用此功能，您必须创建 VRRP 池，并使用命令将池中的一台设备分配给 jnpr_allocate_device 租户。

要创建 VRRP 池并将设备分配给租户：

创建 VRRP 池：

在此页面上

配置防火墙即服务 （FWaaS） 插件

配置专用外围防火墙

配置高可用性和虚拟路由器冗余协议

配置防火墙即服务（FWaaS）插件