Очевидным образом поддержка настроек межсетевого экрана на каждом сервере с прямым выходом в интернет становится всё сложнее с ростом инфраструктуры и требует инструментов для их автоматизации.

Для минимизации рисков, связанных с проблемами сетевой безопасности, инфраструтура виртуальных датацентров обладает следующими характеристиками:
  - виртуальные серверы создаются в сетевом периметре локальной сети и имеют только локальный IP адрес, выделение и подключение внешнего IP адреса происходит отдельным действием в Панели управления, через API или в Openstack клиенте;
  - для портов виртуальных серверов включен механизм сетевых групп безопасности, в терминах Openstack - Security Groups;

Сетевые группы безопасности - это настройки межсетевого фильтра (iptables), применяемые к портам снаружи виртуального сервера, другими словами, эти настройки являются частью настроек виртуальной инфраструктуры датацентра, а не настройками внутри виртуальных серверов. Управлять сетевыми группами безопасности вы можете в Панели управления, через API или в командной строке, могут быть автоматизированы в оркестраторе Openstack Heat или системе управления конфигурациями серверов. Таким образом, в принципе отпадает необходимость конфигурировать межсетевой экран непосредственно на самих виртуальных серверах.
Назначаемая по умолчанию группа default разрешает сетевой трафик внутри локальной сети и исходящи трафик. Вы можете создавать свои наборы правил сетевой безопасности и по необходимости добавлять в них серверы или исключать из их. Таким образом, вы можете обновлять систему, устанавливать дополнительное ПО, конфигурировать его без риска несанкционированного доступа к портам снаружи.

Если вы назначаете серверу внешний IP адрес, правила сетевой безопасности применяются и к нему.

Инструкция по конфигурированию и добавлению правил сетевой безопасности в Панели по ссылке.