防火墙与安全组

防火墙和安全组的区别:

  • 防火墙是防护软件,属于被动防护,是在被攻击时才进行防护的;
  • 安全组以安全策略进行防护,属于主动防护,是在未被攻击时做好安全防护。

安全组很像防火墙参考实现,它们都是使用IPTables规则来做包过滤。他们之间的区别在于:

  1. 安全组由L2 Agent来实现,也就是说L2 Agent,比如neutron-openvswitch-agent和neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则,而且一般发生在所有计算节点上。防火墙由L3 Agent来实现,它的规则会在租户的Router所在的L3 Agent节点上转化成IPTables规则。
  2. 防火墙保护只能作用于跨网段的网络流量,而安全组则可以作用于任何进出虚拟机的流量。
  3. 防火墙作为高级网络服务,将被用于服务链中,而安全组则不能。
    在Neutron中同时部署防火墙和安全组可以达到双重防护。外部恶意访问可以被防火墙过滤掉,避免了计算节点的安全组去处理恶意访问所造成的资源损失。即使防火墙被突破,安全组作为下一到防线还可以保护虚拟机。最重要的是,安全组可以过滤掉来自内部的恶意访问。

Q.E.D.