华为FusionSphereOpenstack安全组知识梳理总结

1、安全组概念

  安全组用来实现安全组内和组间虚拟机的访问控制,加强虚拟机的安全保护。安全组创建后,管理员可以在安全组中定义各种访问规则,当虚拟机加入该安全组后,即受到这些访问规则的保护。使用安全组功能前,需要管理员在FusionSphere OpenStack安装部署界面上打开安全组开关,并在FusionSphere OpenStack管理控制台的“资源 > 配置”界面同步OpenStack配置信息,以支持使用安全组。

 

2、开启安全组后的影响 

     可能导致不在同一安全组的虚拟机互相无法ping通,或外部无法访问加入安全组的虚拟机。打开或关闭安全组,对已经创建的虚拟机不能动态生效,如果动态修改安全组,必须把所有虚拟机都删除重新创建。否则会出现网络不通。

 

3、安全组与防火墙 

     全组是一个逻辑上的分组,这个分组是由同一个地域内具有相同安全保护需求并相互信任的虚拟机实例组成。

  安全组,类似防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的安全隔离手段。每个虚拟机实例至少属于一个安全组,在创建的时候就需要指定。不同安全组的虚拟机实例之间默认内网不通,可以授权两个安全组之间互访。

  防火墙主要是基于安全区域设置的网络控制访问,通过在防火墙上创建安全区域,并且定义该安全区域的安全级别,然后将防火墙的接口关联到一个安全区域,那么该接口下所连接的这个网络,就属于这个安全区域,属于同一个安全区域的用户具有相同的安全属性。一般情况下,处于同一安全区域的数据流动是不存在安全风险的,不需要实施任何安全策略,只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查。

  所以防火墙保护只能作用于跨网段不同安全区域的网络流量,而安全组则可以作用于任何进出虚拟机的流量。防火墙一般位于内网与外网的边界,保护内网的安全,但对于同一网段的内部流量无法过滤;安全组是作为计算节点内的防御,主要过滤内部的恶意访问,也可以用于过滤外部流量,但安全组是基于linux的软件防火墙,性能无法与硬件防火墙相比。

 

 

 

 

安全组默认规则作用是什么

安全组规则入方向表示外部访问弹性云服务器,出方向表示弹性云服务器访问外部。弹性云服务器加入安全组后,如果安全组中没有任何规则,则弹性云服务器无法访问外部网络,同时外部网络也无法访问弹性云服务器。安全组默认出方向规则表示弹性云服务器可以访问外部,默认入方向规则表示弹性云服务器可以被同一安全组内其他弹性云服务器访问。需要注意的是,安全组不能解决网络故障或网络配置错误类问题。例如,因为网络原因,两个弹性云服务器之间本来就无法互相访问,即使配置了允许他们互相访问安全组规则,这两个弹性云服务器仍无法通信。

 

如何设置安全组规则

 

安全组规则支持入方向和出方向。对于入方向规则,限制源地址为安全组或者网段(CIDR),源地址若为安全组,则仅可以选同一虚拟私有云下的安全组;对于出方向规则,限制目的地址为安全组或网段(CIDR),目的地址若为安全组,则仅可以选择同一虚拟私有云下的安全组。不同虚拟私有云下安全组中的弹性云服务器默认不互通,需要绑定弹性IP并设定相应规则方可通信。Region Type III不支持绑定弹性IP。

 

安全组中多个安全组规则冲突时,安全组规则优先级哪个更高

安全组添加的规则是白名单,多个安全组规则冲突,安全组取其并集生效。

 

posted @ 2023-02-10 08:45  dgdyq  阅读(353)  评论(0编辑  收藏  举报