Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration du plug-in FWaaS (Firewall-as-a-Service)

Le plug-in FWaaS (Firewall-as-a-Service) de Juniper Networks s’ajoute aux plug-ins ML2 et L3 de Juniper Networks. Elle permet à Neutron de configurer les règles et stratégies de pare-feu sur les équipements SRX et vSRX. Dans OpenStack, un locataire peut créer un pare-feu et lui affecter une stratégie de sécurité. Une stratégie de sécurité est un ensemble de règles de pare-feu. La figure 1 illustre la relation entre les règles de pare-feu, la stratégie de pare-feu et le pare-feu.

Figure 1 : stratégie Firewall Policy de pare-feu

Règle de pare-feu : définit l’adresse source et le(s) port(s), l’adresse de destination et le(s) port(s), le protocole et l’action à prendre sur le trafic correspondant.

Politique de pare-feu - Collecte de règles de pare-feu

Pare-feu : représente un équipement de pare-feu.

Lorsque vous activez un plug-in FwaaS, le SRX ou vSRX doit faire office de routeur et de pare-feu. L’administrateur doit s’en assurer lors de la configuration de la topologie.

Équipements pris en charge

Équipements SRX et vSRX Series

Plug-in Configuration

Note:

Avant d’aller plus loin, assurez-vous que les conditions préalables suivantes sont satisfaites :

  • La topologie est configurée

    • sont ajoutés à jnpr_devices table

    • le mappage des alias de réseau physique → de calcul est ajouté à jnpr_nic_mapping table.

    • La connectivité du commutateur de calcul → est capturée dans jnpr_switchport_mapping table (nécessaire pour l’orchestration VLAN L2)

  • Le plug-in L2 est configuré. Cette option est facultative si vous utilisez un plug-in ML2 tiers.

  • Le plug-in de couche 3 est configuré pour utiliser le SRX/vSRX comme routeur.

Pour configurer Neutron pour utiliser le plug-in de service Juniper FwaaS :

  1. Mettez à jour le fichier de /etc/neutron/neutron.conf configuration neutron et ajoutez les service_plug-ins avec les éléments suivants :

  2. Ajouter un pare-feu à la topologie :

  3. Définissez le port d’agrégation de liaison descendante sur l’équipement SRX sur lequel les VRV sont créés par le plug-in.

    Mettez à jour la base de données du plug-in avec le port de l’équipement SRX auquel le commutateur d’agrégation est connecté :

    Par exemple :

  4. Allouez le pare-feu à un locataire ou par défaut pour tous les locataires :

    Pour allouer le pare-feu par défaut à tous les locataires qui ne disposent pas d’un pare-feu, utilisez la commande ci-dessous :

  5. Activez Horizon pour afficher le panneau de pare-feu.

    Pour afficher le panneau de pare-feu sous le groupe Réseaux dans l’interface utilisateur Horizon, ouvrez /usr/share/openstack-dashboard/openstack_dashboard/local/local_settings.pyet mettez à jour la configuration suivante :

    enable_firewall: True

  6. Après avoir terminé la configuration du plug-in FWaaS, redémarrez les opérations suivantes :

    • Serveur neutron

      • Ubuntu – service neutron-serveur redémarrage

      • CentOS – système de redémarrage du serveur neutron

    • Apache (redémarre Horizon)

      • Ubuntu – service apache2 redémarrage

      • CentOS – redémarrage du système httpd

  7. À partir de l’interface graphique Horizon, créez des règles de pare-feu et associez-les à une stratégie. Créez un pare-feu et attribuez-lui les routeurs et la stratégie de pare-feu.

  8. Sur le SRX, vous pouvez vérifier une zone de pare-feu pour chaque instance de routage et les stratégies correspondantes appliquées dans ces zones.

Configuration d’un pare-feu de périmètre dédié

Les exigences de chaque locataire varient en fonction des performances et du coût du pare-feu. Par exemple, un pare-feu dédié pour améliorer les performances et la conformité, un pare-feu à moindre coût grâce au partage des ressources réseau, ou un pare-feu avec un accès administratif complet à l’équipement réseau afin de tirer parti des services avancés fournis par l’équipement. Pour répondre aux différentes exigences de chaque locataire, le fournisseur de cloud doit pouvoir allouer des ressources réseau dédiées ou partagées aux locataires.

En utilisant le plug-in FwaaS de Juniper Networks, un fournisseur de services peut allouer des ressources dédiées ou partagées (physiques ou virtuelles) aux locataires.

Par exemple, le fournisseur de services peut créer et configurer un pare-feu comme suit en fonction des exigences du locataire :

  • Économie : alloue un SRX ou vSRX partagé à un groupe de locataires

  • Argent - Alloue un SRX ou vSRX dédié par locataire avec des spécifications par défaut

  • Or - Alloue un SRX ou vSRX haut de gamme

Figure 2 : Allocation Firewall Allocation de pare-feu

Comme le voit la figure 2, vous pouvez dédier SRX/vSRX à un locataire ou à un groupe de locataires. Cette procédure est transparente pour le locataire et se fait à l’aide des outils CLI fournis avec le plug-in Juniper OpenStack Neutron.

Pour allouer un cluster SRX dédié à un locataire :

  1. Allouez l’équipement SRX principal au locataire :
  2. Définissez le cluster VRRP et attribuez un nom :

Configuration du protocole de redondance de routeur virtuel et haute disponibilité

Le plug-in FwaaS prend en charge la haute disponibilité avec le protocole HA (Virtual Router Redundancy Protocol) avec VRRP. Pour utiliser cette fonctionnalité, vous devez créer un pool VRRP et affecter l’un des équipements du pool à un locataire à l’aide de la jnpr_allocate_device commande.

Pour créer un pool VRRP et affecter un équipement à un locataire :

  1. Créer un pool VRRP :
  2. Allouez l’équipement SRX principal du pool VRRP au locataire :