Configurar políticas de firewall para LIFs
A configuração de um firewall aumenta a segurança do cluster e ajuda a impedir o acesso não autorizado ao sistema de armazenamento. Por padrão, o firewall integrado é configurado para permitir acesso remoto a um conjunto específico de serviços IP para dados, gerenciamento e LIFs entre clusters.
Começando com ONTAP 9.10,1:
-
As políticas de firewall são obsoletas e são substituídas por políticas de serviço LIF. Anteriormente, o firewall integrado era gerenciado usando políticas de firewall. Essa funcionalidade agora é realizada usando uma política de serviço LIF.
-
Todas as políticas de firewall estão vazias e não abrem nenhuma porta no firewall subjacente. Em vez disso, todas as portas devem ser abertas usando uma política de serviço LIF.
-
Nenhuma ação é necessária após uma atualização para 9.10.1 ou posterior para a transição de políticas de firewall para políticas de serviço LIF. O sistema constrói automaticamente políticas de serviço LIF consistentes com as políticas de firewall em uso na versão anterior do ONTAP. Se você usar scripts ou outras ferramentas que criam e gerenciam políticas de firewall personalizadas, talvez seja necessário atualizar esses scripts para criar políticas de serviço personalizadas.
Para saber mais, "LIFs e políticas de serviço no ONTAP 9.6 e posteriores"consulte .
As políticas de firewall podem ser usadas para controlar o acesso a protocolos de serviço de gerenciamento, como SSH, HTTP, HTTPS, Telnet, NTP, NDMP, NDMPS, RSH, DNS ou SNMP. Não é possível definir políticas de firewall para protocolos de dados como NFS ou SMB.
Você pode gerenciar o serviço de firewall e as políticas das seguintes maneiras:
-
Ativar ou desativar o serviço de firewall
-
Exibindo a configuração atual do serviço de firewall
-
Criar uma nova política de firewall com o nome da política e os serviços de rede especificados
-
Aplicar uma política de firewall a uma interface lógica
-
Criar uma nova política de firewall que seja uma cópia exata de uma política existente
Use isso para criar uma política com características semelhantes no mesmo SVM ou para copiar a política para um SVM diferente.
-
Exibindo informações sobre políticas de firewall
-
Modificar os endereços IP e as máscaras de rede que são usadas por uma política de firewall
-
Eliminar uma política de firewall que não está a ser utilizada por um LIF
Políticas de firewall e LIFs
As políticas de firewall LIF são usadas para restringir o acesso ao cluster em cada LIF. Você precisa entender como a política de firewall padrão afeta o acesso do sistema sobre cada tipo de LIF e como você pode personalizar uma política de firewall para aumentar ou diminuir a segurança sobre um LIF.
Ao configurar um LIF usando o network interface create
comando ou network interface modify
, o valor especificado para o -firewall-policy
parâmetro determina os protocolos de serviço e os endereços IP que têm acesso permitido ao LIF.
Em muitos casos, você pode aceitar o valor padrão da política de firewall. Em outros casos, talvez seja necessário restringir o acesso a determinados endereços IP e a determinados protocolos de serviço de gerenciamento. Os protocolos de serviço de gerenciamento disponíveis incluem SSH, HTTP, HTTPS, Telnet, NTP, NDMP, NDMPS, RSH, DNS e SNMP.
A política de firewall para todas as LIFs de cluster é padrão ""
e não pode ser modificada.
A tabela a seguir descreve as políticas de firewall padrão que são atribuídas a cada LIF, dependendo de sua função (ONTAP 9.5 e anterior) ou diretiva de serviço (ONTAP 9.6 e posterior), quando você cria o LIF:
Política de firewall |
Protocolos de serviço padrão |
Acesso predefinido |
LIFs aplicadas a |
gestão |
dns, http, https, ndmp, ndmps, ntp, snmp, ssh |
Qualquer endereço (0,0.0,0/0) |
Gerenciamento de clusters, gerenciamento de SVM e LIFs de gerenciamento de nós |
gerenciamento nfs |
dns, http, https, ndmp, ndmps, ntp, portmap, snmp, ssh |
Qualquer endereço (0,0.0,0/0) |
LIFs de dados que também são compatíveis com o acesso de gerenciamento da SVM |
entre clusters |
https, ndmp, ndmps |
Qualquer endereço (0,0.0,0/0) |
Todos os LIFs entre clusters |
dados |
dns, ndmp, ndmps, portmap |
Qualquer endereço (0,0.0,0/0) |
Todos os dados LIFs |
Configuração do serviço portmap
O serviço portmap mapeia os serviços RPC para as portas nas quais eles escutam.
O serviço portmap estava sempre acessível no ONTAP 9.3 e anterior, tornou-se configurável no ONTAP 9.4 através do ONTAP 9.6 e é gerenciado automaticamente a partir do ONTAP 9.7.
-
No ONTAP 9.3 e anteriores, o serviço portmap (rpcbind) estava sempre acessível na porta 111 em configurações de rede que dependiam do firewall ONTAP integrado em vez de um firewall de terceiros.
-
Do ONTAP 9.4 ao ONTAP 9.6, você pode modificar políticas de firewall para controlar se o serviço portmap está acessível em LIFs específicos.
-
A partir do ONTAP 9.7, o serviço de firewall portmap é eliminado. Em vez disso, a porta portmap é aberta automaticamente para todos os LIFs que suportam o serviço NFS.
O serviço portmap é configurável no firewall no ONTAP 9.4 através do ONTAP 9.6.
O restante deste tópico discute como configurar o serviço de firewall do portmap para as versões do ONTAP 9.4 através do ONTAP 9.6.
Dependendo da sua configuração, você poderá desativar o acesso ao serviço em tipos específicos de LIFs, geralmente de gerenciamento e LIFs entre clusters. Em algumas circunstâncias, você pode até mesmo ser capaz de proibir o acesso em LIFs de dados.
O comportamento do ONTAP 9.4 até o ONTAP 9.6 foi projetado para fornecer uma transição perfeita na atualização. Se o serviço portmap já estiver sendo acessado sobre tipos específicos de LIFs, ele continuará acessível sobre esses tipos de LIFs. Como no ONTAP 9.3 e anteriores, você pode especificar os serviços acessíveis no firewall na política de firewall para o tipo LIF.
Todos os nós no cluster devem estar executando o ONTAP 9.4 a ONTAP 9.6 para que o comportamento entre em vigor. Apenas o tráfego de entrada é afetado.
As novas regras são as seguintes:
-
Ao atualizar para a versão 9,4 até 9,6, o ONTAP adiciona o serviço portmap a todas as políticas de firewall existentes, padrão ou personalizado.
-
Quando você cria um novo cluster ou um novo espaço de IPspace, o ONTAP adiciona o serviço de portmap apenas à política de dados padrão, não ao gerenciamento padrão ou às políticas entre clusters.
-
Você pode adicionar o serviço portmap a políticas padrão ou personalizadas conforme necessário e remover o serviço conforme necessário.
Para adicionar o serviço portmap a uma diretiva de firewall de cluster ou SVM (torná-lo acessível dentro do firewall), digite:
system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
Para remover o serviço portmap de uma diretiva de firewall de cluster ou SVM (torná-lo inacessível no firewall), digite:
system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
Você pode usar o comando Network Interface Modify para aplicar a política de firewall a um LIF existente. Para obter a sintaxe de comando completa, consulte "Referência do comando ONTAP" .
Crie uma política de firewall e atribua-a a um LIF
As políticas de firewall padrão são atribuídas a cada LIF quando você cria o LIF. Em muitos casos, as configurações padrão do firewall funcionam bem e você não precisa alterá-las. Se você quiser alterar os serviços de rede ou endereços IP que podem acessar um LIF, você pode criar uma política de firewall personalizada e atribuí-la ao LIF.
-
Não é possível criar uma política de firewall com o
policy
nomedata
,intercluster
,cluster
, oumgmt
.Esses valores são reservados para as políticas de firewall definidas pelo sistema.
-
Não é possível definir ou modificar uma política de firewall para LIFs de cluster.
A política de firewall para LIFs de cluster está definida como 0,0.0.0/0 para todos os tipos de serviços.
-
Se você precisar remover um serviço de uma política, exclua a política de firewall existente e crie uma nova política.
-
Se o IPv6 estiver ativado no cluster, você poderá criar políticas de firewall com endereços IPv6.
Depois que o IPv6 estiver ativado,
data
intercluster
, emgmt
as políticas de firewall incluem ::/0, o curinga IPv6, em sua lista de endereços aceitos. -
Ao usar o System Manager para configurar a funcionalidade de proteção de dados entre clusters, você deve garantir que os endereços IP LIF sejam incluídos na lista permitida e que o serviço HTTPS seja permitido tanto nas LIFs entre clusters quanto nas firewalls de propriedade da empresa.
Por padrão, a
intercluster
política de firewall permite o acesso de todos os endereços IP (0,0.0,0/0, ou ::/0 para IPv6) e habilita os serviços HTTPS, NDMP e NDMPS. Se você modificar essa política padrão ou criar sua própria política de firewall para LIFs entre clusters, adicione cada endereço IP LIF entre clusters à lista permitida e ative o serviço HTTPS. -
A partir do ONTAP 9.6, os serviços de firewall HTTPS e SSH não são suportados.
No ONTAP 9.6, os
management-https
serviços emanagement-ssh
LIF estão disponíveis para acesso de gerenciamento HTTPS e SSH.
-
Crie uma política de firewall que estará disponível para os LIFs em um SVM específico:
system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask
Você pode usar este comando várias vezes para adicionar mais de um serviço de rede e lista de endereços IP permitidos para cada serviço na política de firewall.
-
Verifique se a política foi adicionada corretamente usando o
system services firewall policy show
comando. -
Aplique a política de firewall a um LIF:
network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name
-
Verifique se a política foi adicionada corretamente ao LIF usando o
network interface show -fields firewall-policy
comando.
O comando a seguir cria uma política de firewall chamada data_http que habilita o acesso de protocolos HTTP e HTTPS a partir de endereços IP na sub-rede 10,10, aplica essa política ao LIF chamado data1 na SVM VS1 e, em seguida, mostra todas as políticas de firewall no cluster:
system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show Vserver Policy Service Allowed ------- ------------ ---------- ------------------- cluster-1 data dns 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 cluster-1 intercluster https 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 cluster-1 mgmt dns 0.0.0.0/0 http 0.0.0.0/0 https 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 ntp 0.0.0.0/0 snmp 0.0.0.0/0 ssh 0.0.0.0/0 vs1 data_http http 10.10.0.0/16 https 10.10.0.0/16 network interface modify -vserver vs1 -lif data1 -firewall-policy data_http network interface show -fields firewall-policy vserver lif firewall-policy ------- -------------------- --------------- Cluster node1_clus_1 Cluster node1_clus_2 Cluster node2_clus_1 Cluster node2_clus_2 cluster-1 cluster_mgmt mgmt cluster-1 node1_mgmt1 mgmt cluster-1 node2_mgmt1 mgmt vs1 data1 data_http vs3 data2 data