Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar políticas de firewall para LIFs

Colaboradores

A configuração de um firewall aumenta a segurança do cluster e ajuda a impedir o acesso não autorizado ao sistema de armazenamento. Por padrão, o firewall integrado é configurado para permitir acesso remoto a um conjunto específico de serviços IP para dados, gerenciamento e LIFs entre clusters.

Começando com ONTAP 9.10,1:

  • As políticas de firewall são obsoletas e são substituídas por políticas de serviço LIF. Anteriormente, o firewall integrado era gerenciado usando políticas de firewall. Essa funcionalidade agora é realizada usando uma política de serviço LIF.

  • Todas as políticas de firewall estão vazias e não abrem nenhuma porta no firewall subjacente. Em vez disso, todas as portas devem ser abertas usando uma política de serviço LIF.

  • Nenhuma ação é necessária após uma atualização para 9.10.1 ou posterior para a transição de políticas de firewall para políticas de serviço LIF. O sistema constrói automaticamente políticas de serviço LIF consistentes com as políticas de firewall em uso na versão anterior do ONTAP. Se você usar scripts ou outras ferramentas que criam e gerenciam políticas de firewall personalizadas, talvez seja necessário atualizar esses scripts para criar políticas de serviço personalizadas.

As políticas de firewall podem ser usadas para controlar o acesso a protocolos de serviço de gerenciamento, como SSH, HTTP, HTTPS, Telnet, NTP, NDMP, NDMPS, RSH, DNS ou SNMP. Não é possível definir políticas de firewall para protocolos de dados como NFS ou SMB.

Você pode gerenciar o serviço de firewall e as políticas das seguintes maneiras:

  • Ativar ou desativar o serviço de firewall

  • Exibindo a configuração atual do serviço de firewall

  • Criar uma nova política de firewall com o nome da política e os serviços de rede especificados

  • Aplicar uma política de firewall a uma interface lógica

  • Criar uma nova política de firewall que seja uma cópia exata de uma política existente

    Use isso para criar uma política com características semelhantes no mesmo SVM ou para copiar a política para um SVM diferente.

  • Exibindo informações sobre políticas de firewall

  • Modificar os endereços IP e as máscaras de rede que são usadas por uma política de firewall

  • Eliminar uma política de firewall que não está a ser utilizada por um LIF

Políticas de firewall e LIFs

As políticas de firewall LIF são usadas para restringir o acesso ao cluster em cada LIF. Você precisa entender como a política de firewall padrão afeta o acesso do sistema sobre cada tipo de LIF e como você pode personalizar uma política de firewall para aumentar ou diminuir a segurança sobre um LIF.

Ao configurar um LIF usando o network interface create comando ou network interface modify, o valor especificado para o -firewall-policy parâmetro determina os protocolos de serviço e os endereços IP que têm acesso permitido ao LIF.

Em muitos casos, você pode aceitar o valor padrão da política de firewall. Em outros casos, talvez seja necessário restringir o acesso a determinados endereços IP e a determinados protocolos de serviço de gerenciamento. Os protocolos de serviço de gerenciamento disponíveis incluem SSH, HTTP, HTTPS, Telnet, NTP, NDMP, NDMPS, RSH, DNS e SNMP.

A política de firewall para todas as LIFs de cluster é padrão "" e não pode ser modificada.

A tabela a seguir descreve as políticas de firewall padrão que são atribuídas a cada LIF, dependendo de sua função (ONTAP 9.5 e anterior) ou diretiva de serviço (ONTAP 9.6 e posterior), quando você cria o LIF:

Política de firewall

Protocolos de serviço padrão

Acesso predefinido

LIFs aplicadas a

gestão

dns, http, https, ndmp, ndmps, ntp, snmp, ssh

Qualquer endereço (0,0.0,0/0)

Gerenciamento de clusters, gerenciamento de SVM e LIFs de gerenciamento de nós

gerenciamento nfs

dns, http, https, ndmp, ndmps, ntp, portmap, snmp, ssh

Qualquer endereço (0,0.0,0/0)

LIFs de dados que também são compatíveis com o acesso de gerenciamento da SVM

entre clusters

https, ndmp, ndmps

Qualquer endereço (0,0.0,0/0)

Todos os LIFs entre clusters

dados

dns, ndmp, ndmps, portmap

Qualquer endereço (0,0.0,0/0)

Todos os dados LIFs

Configuração do serviço portmap

O serviço portmap mapeia os serviços RPC para as portas nas quais eles escutam.

O serviço portmap estava sempre acessível no ONTAP 9.3 e anterior, tornou-se configurável no ONTAP 9.4 através do ONTAP 9.6 e é gerenciado automaticamente a partir do ONTAP 9.7.

  • No ONTAP 9.3 e anteriores, o serviço portmap (rpcbind) estava sempre acessível na porta 111 em configurações de rede que dependiam do firewall ONTAP integrado em vez de um firewall de terceiros.

  • Do ONTAP 9.4 ao ONTAP 9.6, você pode modificar políticas de firewall para controlar se o serviço portmap está acessível em LIFs específicos.

  • A partir do ONTAP 9.7, o serviço de firewall portmap é eliminado. Em vez disso, a porta portmap é aberta automaticamente para todos os LIFs que suportam o serviço NFS.

O serviço portmap é configurável no firewall no ONTAP 9.4 através do ONTAP 9.6.

O restante deste tópico discute como configurar o serviço de firewall do portmap para as versões do ONTAP 9.4 através do ONTAP 9.6.

Dependendo da sua configuração, você poderá desativar o acesso ao serviço em tipos específicos de LIFs, geralmente de gerenciamento e LIFs entre clusters. Em algumas circunstâncias, você pode até mesmo ser capaz de proibir o acesso em LIFs de dados.

Que comportamento você pode esperar

O comportamento do ONTAP 9.4 até o ONTAP 9.6 foi projetado para fornecer uma transição perfeita na atualização. Se o serviço portmap já estiver sendo acessado sobre tipos específicos de LIFs, ele continuará acessível sobre esses tipos de LIFs. Como no ONTAP 9.3 e anteriores, você pode especificar os serviços acessíveis no firewall na política de firewall para o tipo LIF.

Todos os nós no cluster devem estar executando o ONTAP 9.4 a ONTAP 9.6 para que o comportamento entre em vigor. Apenas o tráfego de entrada é afetado.

As novas regras são as seguintes:

  • Ao atualizar para a versão 9,4 até 9,6, o ONTAP adiciona o serviço portmap a todas as políticas de firewall existentes, padrão ou personalizado.

  • Quando você cria um novo cluster ou um novo espaço de IPspace, o ONTAP adiciona o serviço de portmap apenas à política de dados padrão, não ao gerenciamento padrão ou às políticas entre clusters.

  • Você pode adicionar o serviço portmap a políticas padrão ou personalizadas conforme necessário e remover o serviço conforme necessário.

Como adicionar ou remover o serviço portmap

Para adicionar o serviço portmap a uma diretiva de firewall de cluster ou SVM (torná-lo acessível dentro do firewall), digite:

system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

Para remover o serviço portmap de uma diretiva de firewall de cluster ou SVM (torná-lo inacessível no firewall), digite:

system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

Você pode usar o comando Network Interface Modify para aplicar a política de firewall a um LIF existente. Para obter a sintaxe de comando completa, consulte "Referência do comando ONTAP" .

Crie uma política de firewall e atribua-a a um LIF

As políticas de firewall padrão são atribuídas a cada LIF quando você cria o LIF. Em muitos casos, as configurações padrão do firewall funcionam bem e você não precisa alterá-las. Se você quiser alterar os serviços de rede ou endereços IP que podem acessar um LIF, você pode criar uma política de firewall personalizada e atribuí-la ao LIF.

Sobre esta tarefa
  • Não é possível criar uma política de firewall com o policy nome data, intercluster, cluster, ou mgmt.

    Esses valores são reservados para as políticas de firewall definidas pelo sistema.

  • Não é possível definir ou modificar uma política de firewall para LIFs de cluster.

    A política de firewall para LIFs de cluster está definida como 0,0.0.0/0 para todos os tipos de serviços.

  • Se você precisar remover um serviço de uma política, exclua a política de firewall existente e crie uma nova política.

  • Se o IPv6 estiver ativado no cluster, você poderá criar políticas de firewall com endereços IPv6.

    Depois que o IPv6 estiver ativado, data intercluster, e mgmt as políticas de firewall incluem ::/0, o curinga IPv6, em sua lista de endereços aceitos.

  • Ao usar o System Manager para configurar a funcionalidade de proteção de dados entre clusters, você deve garantir que os endereços IP LIF sejam incluídos na lista permitida e que o serviço HTTPS seja permitido tanto nas LIFs entre clusters quanto nas firewalls de propriedade da empresa.

    Por padrão, a intercluster política de firewall permite o acesso de todos os endereços IP (0,0.0,0/0, ou ::/0 para IPv6) e habilita os serviços HTTPS, NDMP e NDMPS. Se você modificar essa política padrão ou criar sua própria política de firewall para LIFs entre clusters, adicione cada endereço IP LIF entre clusters à lista permitida e ative o serviço HTTPS.

  • A partir do ONTAP 9.6, os serviços de firewall HTTPS e SSH não são suportados.

    No ONTAP 9.6, os management-https serviços e management-ssh LIF estão disponíveis para acesso de gerenciamento HTTPS e SSH.

Passos
  1. Crie uma política de firewall que estará disponível para os LIFs em um SVM específico:

    system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask

    Você pode usar este comando várias vezes para adicionar mais de um serviço de rede e lista de endereços IP permitidos para cada serviço na política de firewall.

  2. Verifique se a política foi adicionada corretamente usando o system services firewall policy show comando.

  3. Aplique a política de firewall a um LIF:

    network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name

  4. Verifique se a política foi adicionada corretamente ao LIF usando o network interface show -fields firewall-policy comando.

Exemplo de criar uma política de firewall e atribuí-la a um LIF

O comando a seguir cria uma política de firewall chamada data_http que habilita o acesso de protocolos HTTP e HTTPS a partir de endereços IP na sub-rede 10,10, aplica essa política ao LIF chamado data1 na SVM VS1 e, em seguida, mostra todas as políticas de firewall no cluster:

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data