前言
熟悉雲平臺的朋友可能都會注意到這樣一個事情:無論公有云還是私有云,創建虛擬機的時候都需要選擇安全組,來對虛擬機進行安全防護;有的雲平臺在VPC裏,還能選擇防火牆,ZStack在3.6版本也發佈了VPC防火牆功能。可能有的朋友會有疑惑,防火牆和安全組到底有什麼區別?有了安全組,是否可以不需要防火牆了?他們是相互替代關係嗎?本文將會給大家做一個詳細介紹,剖析防火牆和安全組的異同以及各自的應用場景。
1.安全組
安全組在網絡服務中,在管理界面上選擇網絡服務->安全組,到安全組的配置界面進行安全組配置。
輸入安全組名稱,然後選擇網絡、配置規則、加載虛擬機網卡。
安全組作用於虛擬機的虛擬網卡上,給虛擬機提供三層網絡的訪問控制,支持入方向、出方向的過濾;控制TCP/UDP/ICMP等協議進行有效過濾;也可以直接匹配所有協議;可以根據數據包的源IP進行過濾。安全組實際上可以看成是一個分佈式的訪問控制,扁平網絡和VPC網絡均支持安全組。如果需要將更多的虛擬機加入安全組,則可以動態在安全組中添加虛擬機網卡,每次規則的更新,也會動態的添加/刪除安全組規則,安全組中的所有虛擬機同步更新規則。
安全組中包含了一系列的訪問控制規則,屬於白名單機制,只有在白名單中的數據才允許通過。安全組可以加載一個或多個三層網絡,虛擬機掛載到三層網絡的網卡可以加入這些安全組。一個虛擬機的網卡可以加入多個安全組, 安全組的規則會合併在一起並應用到該網卡上;也就是說,作用到虛擬機網卡上的規則是所有安全組的並集。
2 防火牆
防火牆在網絡資源中,在管理界面上選擇網絡資源->VPC防火牆,到防火牆的配置界面進行防火牆配置
輸入防火牆名稱,然後選擇VPC路由器,這樣就將VPC路由器變成了一臺防火牆。
爲VPC路由器配置防火牆以後,會自動創建入方向的規則集,規則允許new、related、established狀態的報文以及ICMP報文通過,默認動作爲拒絕。
防火牆中有如下幾個概念:
規則集:是訪問控制規則的集合,包含了一系列的規則,具體作用到VPC路由器的每個網卡的出入方向,包含對數據包處理的默認行爲接受、拒絕或者丟棄。
規則:訪問控制策略,支持3-4層的過濾;支持配置優先級,優先級越大,生效越早。
防火牆作用在VPC路由器上,屬於集中式的VPC邊緣設備,爲整個VPC提供訪問控制。防火牆的配置也是動態生效的,即時的配置會馬上作用到VPC路由器接口;接口每個方向只能應用一個規則集。因此,接口每個方向上的策略是規則集中的所有規則,每個規則可以自定義行爲,設置接受、拒絕或者丟棄。數據包進入防火牆時,根據規則集的規則優先級進行逐條匹配,如果匹配上了,則執行規則的行爲;如果沒有匹配上,則執行規則集的默認行爲。
防火牆可以針對不同報文狀態來進行過濾,如new、established、invalid、related;也可以針對常見的協議,如TCP、UDP、VRRP、ICMP等。同時,如果協議是TCP或者ICMP,防火牆提供了更加細粒度的過濾規則,能夠針對ICMP的類型、TCP的flag進行匹配,進一步細化策略,滿足更多的使用場景。
3 安全組和防火牆對比
從前面的介紹,咱們來對安全組和防火牆做一個對比小結,如下圖
從作用範圍來看,安全組作用於虛擬機網卡,而防火牆則是在VPC路由器上,保護整個VPC;
安全組是分佈式部署的,在每個計算節點上都會存在,而防火牆是集中式,把VPC路由器變成了防火牆;
安全組是白名單機制,僅支持允許策略,防火牆可以自定義規則行爲是允許還是拒絕;
安全組規則根據配置順序來定優先級,防火牆則可以自定義優先級;
安全組規則的匹配內容包括源IP、源端口、協議,防火牆則包括五元組以及TCP flag、ICMP Type、報文狀態。
從上面的分析可以看到,防火牆的功能是更爲強大的,但可能有朋友要問了,這些都是屬於包過濾的功能,安全組同樣可以做,這和防火牆是否有功能上的重複?誠然,防火牆的功能主要是包過濾,但後續可以加入更多的功能。
從流量的角度再來看下,訪問VPC內部虛擬機的流量到公有網絡後,先經過VPC路由器,也就是防火牆,然後是VPC網絡,再到虛擬機端口上,經過安全組過濾最後發給虛擬機。可以看到,防火牆是在安全組之前生效的。
打一個比方,把VPC看做是企業IT環境,虛擬機就是PC機或者服務器,安全組就好比PC機的軟件防火牆,VPC路由器就是企業出口設備。對於企業來說,出口肯定是需要硬件防火牆設備來做防護的,保證內部環境的安全,不可能只靠PC機的軟件防火牆;對於VPC來說也是同樣的道理,VPC使用防火牆,在更靠近威脅源的地方,將流量阻斷,保證了VPC內部通信的安全,同時也保證了VPC路由器的安全。如果VPC路由器沒有防火牆功能,那危險流量過來後,VPC路由器就直接被攻破,後端連接的所有VPC網絡全部通信中斷,安全組其實根本沒能發揮出應有的作用。由此可以看到,VPC路由器是VPC的入口,在入口部署防火牆進行統一的策略防護,是最好的安全手段。
從配置的角度來看,安全組是作用於虛擬機網卡的,如果虛擬機數量非常多,那麼就需要再一個個將虛擬機選擇出來加入安全組,過程複雜且繁瑣;而用防火牆就方便的多,直接幾條策略即可,防護整個網段。
當然,防火牆也有無法觸及之處,防火牆作爲VPC網絡的網關,主要對南北向流量進行過濾,同一個VPC網絡中的虛擬機通信沒有辦法做控制,這個時候就需要依靠安全組了。
4 總結
從上面的分析咱們可以看到,防火牆主要是做南北向的訪問控制,作用範圍是整個VPC,安全組主要是做東西向的訪問控制,作用範圍是虛擬機網卡,和防火牆形成互補的關係。當然,安全組也是可以做南北向的訪問控制的,從安全的角度來看,在離威脅源更近的地方進行防護是更好的方式,所以南北向交給防火牆來做,安全組作爲防火牆的補充,是雲主機安全的最後防線。
安全組和防火牆不是兩者只取其一的關係,他們是相輔相成的,兩者有機結合,才能夠更好的做雲主機的安全防護。