网络安全是互联网中一个永恒的话题,随着云计算的快速发展,云计算终将占领未来的服务器市场,同时云的安全性需求也日益增加。如今市场上的云计算产品,少数是由大型的互联网公司自主研发自己的闭源云产品,如亚马逊、阿里云等;多数则是共同开发开源云计算产品,而开源云计算平台中最具代表性就是OpenStack。OpenStack的网络组件neutron本身提供了位于网络边界、控制进出网络的数据流、安装在云平台集群的网络节点上面的主防火墙——高级服务FWaaS;以及位于云平台集群计算节点上的分布式防火墙——安全组(Security Group);然而这些组件的底层都是基于Linux IPtables和Linux系统中的命名空间来控制进出相应虚拟机或者租户网络的网络包,而Linux中纯虚拟化系统实现的安全组件的性能较差,难以满足市场上的业务需求。目前,市场上的云安全产品仍然很少,且尚未发展成熟,所以大多数的数据中心的云平台网络安全方案的设计仍然是以硬件设备为主,软件设备为辅来构建的。为了满足各类型企业对私有云网络安全性的迫切需求,本文提出了一种基于OpenStack私有云平台的网络安全架构设计。本文的重点将分为以下四部分:首先将介绍云网络安全的研究背景和意义,研究现状,本文的主要内容及创新点;然后介绍虚拟网络实现原理,OpenStack的基本网络架构特性,以及云计算平台上网络的数据流量走向;介绍OpenStack的虚拟网络组件neutron与SDN对接的工作原理;研究OpenStack所提供的网络安全组件安全组和防火墙的原理及应用;接下来将设计一个OpenStack接入SDN,添加硬件的网络安全设备后的云平台数据中心的整体网络架构图,详细介绍各个网络安全设备接入云平台的接入方案;最后将测试整个架构的一些安全设备的功能是否实现,并探讨此方案中数据中心网络存在的一些问题,以及如何解决这些问题,并对该系统提出一些改进的建议。