Chinaunix首页 | 论坛 | 博客

zzjlzxzzjlzx.blog.chinaunix.net

刚中带柔,柔中带刚,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

  • 博客访问: 3655527
  • 博文数量: 2076
  • 博客积分: 16831
  • 博客等级: 上将
  • 技术积分: 12439
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-25 07:23
  • 认证徽章:
个人简介

柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

文章分类

全部博文(2076)

文章存档

2018年(12)

2017年(68)

2016年(61)

2015年(60)

2014年(294)

2013年(362)

2012年(844)

2011年(374)

分类: 网络与安全

2018-01-26 10:53:18

防火墙与安全组
安全组很像防火墙参考实现,它们都是使用IPTables规则来做包过滤。他们之间的区别在于:
1. 安全组由L2 Agent来实现,也就是说L2 Agent,比如neutron-openvswitch-agent和neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则,而且一般发生在所有计算节点上。防火墙由L3 Agent来实现,它的规则会在租户的Router所在的L3 Agent节点上转化成IPTables规则。
2. 防火墙保护只能作用于跨网段的网络流量,而安全组则可以作用于任何进出虚拟机的流量。
3.防火墙作为高级网络服务,将被用于服务链中,而安全组则不能。
在Neutron中同时部署防火墙和安全组可以达到双重防护。外部恶意访问可以被防火墙过滤掉,避免了计算节点的安全组去处理恶意访问所造成的资源损失。即使防火墙被突破,安全组作为下一到防线还可以保护虚拟机。最重要的是,安全组可以过滤掉来自内部的恶意访问。
阅读(88) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~
评论热议
请登录后评论。

登录 注册