云技术社区

服务链接虚拟安全功能的实验

Posted on 2020-02-02

随着云计算用户不断增加,持续的网络安全威胁使得保护运行在虚拟化环境上的应用成为人们重点关注的议题。基于OpenStack的云架构中提供的传统高级网络安全方法在实际部署时可能会导致复杂性,网络延迟和一般操作难题,而使用网络服务链技术(Service Chaining或 Service Function Chaining)可在云上轻松启用网络安全功能,今年Sydney峰会上就为参加研讨会的stacker提供了利用服务链实现虚拟安全功能的现场动手实践。

澳大利亚悉尼当地时间11月6号上午9点,第16届OpenStack峰会在悉尼国际会议中心盛大开幕,来自全球52个国家2300余名与会者,将就以OpenStack为核心的开放基础架构相关技术和商业实践展开为期三天的讨论。

参与者可以分配到一个已预先部署好服务链的Openstack云环境、多种虚拟化安全组件(WAF,IDS / IPS,Web内容过滤器)和部署在虚机上的Web服务器(作为被保护目标)。每个web服务器都将建立服务链并部署虚拟安全功能来监视和阻止发送到虚拟Web服务器的恶意流量。同时,实验中所有使用到的组件均为开源软件。

首先回顾下服务链技术,其目的为动态建立服务链使不同应用的流量可以按照不同顺序导向不同的服务功能模块, 通过SFC可以使控制网络报文流量的路径,而不是通过IP目的地址来查看路由表得最终目的地。SFC主要应用于SDN网络技术中, 可与NetworkFunctionVirtualization(网络功能虚拟化)来实现某些特定功能。

其实社区中已经提供了networking-sfc(Service Function Chaining) 与OpenStack中neutron集成的插件,可以支持L2网络的流量操作,详见官方文档:

https://docs.openstack.org/networking-sfc/latest/

以下为SFC插件集成在neutron上的功能:

在其中一个实验中,参与者通过分配的OpenStack环境创建3台虚机,一个webserver, 一个webclient和一个网路监控服务器,同时配置安全组允许22和80端口通过,采用webclient访问webserver获得“Welcome to webServer”模拟服务请求和响应。

创建完虚机、配置好安全组后,在控制节点上为从webclinet到webserver端的HTTP(tcp port 80)连接创建Flow Classifier :

创建Port Pair, Port Pair Group, and Port Chain:

通过ssh登陆webclient执行访问webserver命令可以收到“Welcome to webserver”的提示,

通过网络监控服务器的Snort可以观察到80端口发送的数据包:

当在网络监控服务器上禁用Kernel IPForwarding和启动Snort inline后:

sudo /sbin/sysctl -wnet.ipv4.ip_forward=0

sudo snort -A console -c/etc/snort/snort-ips.conf -Q -i eth1:eth2 -N

在webclient执行访问webserver后无任何响应:


通过网络监控服务器的Snort也可以观察到80端口发送的数据包被丢弃:

通过上述实验可以看到在OpenStack环境下通过简单配置即可实现SFC,对运行在云上的应用提供保护。在EasyStack提供的企业级OpenStack云平台ESCloud上不仅可以集成network-sfc,还可以直接与SDN控制器对接,利用物理SDN设备提高网络安全和性能。

 


咨询热线:400-100-3070

北京易捷思达科技发展有限公司:北京市海淀区西北旺东路10号院东区1号楼1层107-2号

南京子公司:江苏省南京市雨花台区软件大道168号润和创智中心B栋一楼西101

上海office:上海黄浦区西藏中路336号华旭大厦22楼2204

郑州分公司:河南省郑州市中原区西三环路大学科技园东区14号楼3层北户301

成都分公司:成都市高新区199号天府三街太平洋保险金融大厦A区8楼


邮编:100094


邮箱:

contact@easystack.cn (业务咨询)

partners@easystack.cn(合作伙伴咨询)

marketing@easystack.cn (市场合作)

training@easystack.cn (培训咨询)

hr@easystack.cn(招聘咨询)

Copyright © 2017 EasyStack Inc. All Rights Reserved. 京ICP备16000234号-1 京公网安备 11010802024994号