服务链接虚拟安全功能的实验
Posted on 2020-02-02
随着云计算用户不断增加,持续的网络安全威胁使得保护运行在虚拟化环境上的应用成为人们重点关注的议题。基于OpenStack的云架构中提供的传统高级网络安全方法在实际部署时可能会导致复杂性,网络延迟和一般操作难题,而使用网络服务链技术(Service Chaining或 Service Function Chaining)可在云上轻松启用网络安全功能,今年Sydney峰会上就为参加研讨会的stacker提供了利用服务链实现虚拟安全功能的现场动手实践。
澳大利亚悉尼当地时间11月6号上午9点,第16届OpenStack峰会在悉尼国际会议中心盛大开幕,来自全球52个国家2300余名与会者,将就以OpenStack为核心的开放基础架构相关技术和商业实践展开为期三天的讨论。
参与者可以分配到一个已预先部署好服务链的Openstack云环境、多种虚拟化安全组件(WAF,IDS / IPS,Web内容过滤器)和部署在虚机上的Web服务器(作为被保护目标)。每个web服务器都将建立服务链并部署虚拟安全功能来监视和阻止发送到虚拟Web服务器的恶意流量。同时,实验中所有使用到的组件均为开源软件。
首先回顾下服务链技术,其目的为动态建立服务链使不同应用的流量可以按照不同顺序导向不同的服务功能模块, 通过SFC可以使控制网络报文流量的路径,而不是通过IP目的地址来查看路由表得最终目的地。SFC主要应用于SDN网络技术中, 可与NetworkFunctionVirtualization(网络功能虚拟化)来实现某些特定功能。
其实社区中已经提供了networking-sfc(Service Function Chaining) 与OpenStack中neutron集成的插件,可以支持L2网络的流量操作,详见官方文档:
https://docs.openstack.org/networking-sfc/latest/
以下为SFC插件集成在neutron上的功能:
在其中一个实验中,参与者通过分配的OpenStack环境创建3台虚机,一个webserver, 一个webclient和一个网路监控服务器,同时配置安全组允许22和80端口通过,采用webclient访问webserver获得“Welcome to webServer”模拟服务请求和响应。
创建完虚机、配置好安全组后,在控制节点上为从webclinet到webserver端的HTTP(tcp port 80)连接创建Flow Classifier :
创建Port Pair, Port Pair Group, and Port Chain:
通过ssh登陆webclient执行访问webserver命令可以收到“Welcome to webserver”的提示,
通过网络监控服务器的Snort可以观察到80端口发送的数据包:
当在网络监控服务器上禁用Kernel IPForwarding和启动Snort inline后:
sudo /sbin/sysctl -wnet.ipv4.ip_forward=0
sudo snort -A console -c/etc/snort/snort-ips.conf -Q -i eth1:eth2 -N
在webclient执行访问webserver后无任何响应:
通过网络监控服务器的Snort也可以观察到80端口发送的数据包被丢弃:
通过上述实验可以看到在OpenStack环境下通过简单配置即可实现SFC,对运行在云上的应用提供保护。在EasyStack提供的企业级OpenStack云平台ESCloud上不仅可以集成network-sfc,还可以直接与SDN控制器对接,利用物理SDN设备提高网络安全和性能。
热门文章Top10
- EasyStack位列2018 OpenStack用户调研报告全球前三甲
- 金融云案例:EasyStack助兴业数金构建首个OpenStack金融行业云
- 证券私有云平台实战经验分享:海通证券金融云思考与实践
- 证券私有云案例:做科技型券商,EasyStack助光大证券构建私有云平台
- 江苏农信携手易捷行云,打造业内规模最大的农信开源云平台
- 制造私有云案例:EasyStack超融合助力可口可乐装瓶作业系统稳健升级
- 金融私有云案例| 新一代私有云OTA式赋能台州银行商业创新
- 能源云平台案例:EasyStack助国家电网山东省电力公司构建信息化云平台
- 证券私有云案例:借力EasyStack易捷行云中山证券构建首个OpenStack证券生产云
- 银行金融云平台案例:EasyStack易捷行云助人民银行构建新一代征信系统生产环境云平台