Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为 LIF 配置防火墙策略

贡献者

设置防火墙可增强集群的安全性,并有助于防止未经授权访问存储系统。默认情况下,板载防火墙配置为允许远程访问数据,管理和集群间 LIF 的一组特定 IP 服务。

从 ONTAP 9.10.1 开始:

  • 防火墙策略已弃用、并由LIF服务策略取代。以前,板载防火墙是使用防火墙策略进行管理的。现在,可以使用 LIF 服务策略来实现此功能。

  • 所有防火墙策略均为空,不会打开底层防火墙中的任何端口。而是必须使用 LIF 服务策略打开所有端口。

  • 升级到9.10.1或更高版本后、无需执行任何操作即可从防火墙策略过渡到LIF服务策略。系统会根据上一个ONTAP 版本中使用的防火墙策略自动构建LIF服务策略。如果您使用脚本或其他工具创建和管理自定义防火墙策略,则可能需要升级这些脚本以创建自定义服务策略。

要了解更多信息,请参见 "ONTAP 9.6 及更高版本中的 LIF 和服务策略"

防火墙策略可用于控制对 SSH , HTTP , HTTPS , Telnet , NTP , NDMP , NDMPS , RSH , DNS 或 SNMP 。无法为 NFS 或 SMB 等数据协议设置防火墙策略。

您可以通过以下方式管理防火墙服务和策略:

  • 启用或禁用防火墙服务

  • 显示当前防火墙服务配置

  • 使用指定的策略名称和网络服务创建新的防火墙策略

  • 将防火墙策略应用于逻辑接口

  • 创建与现有策略完全相同的新防火墙策略

    您可以使用此选项在同一 SVM 中创建具有类似特征的策略,或者将此策略复制到其他 SVM 。

  • 显示有关防火墙策略的信息

  • 修改防火墙策略使用的 IP 地址和网络掩码

  • 删除 LIF 未使用的防火墙策略

防火墙策略和 LIF

LIF 防火墙策略用于限制通过每个 LIF 对集群的访问。您需要了解默认防火墙策略如何影响通过每种类型的 LIF 进行的系统访问,以及如何自定义防火墙策略以通过 LIF 提高或降低安全性。

使用配置LIF时 network interface createnetwork interface modify 命令、即为指定的值 -firewall-policy 参数用于确定允许访问LIF的服务协议和IP地址。

在许多情况下,您可以接受默认防火墙策略值。在其他情况下,您可能需要限制对某些 IP 地址和某些管理服务协议的访问。可用的管理服务协议包括 SSH , HTTP , HTTPS , Telnet , NTP , NDMP , NDMPS , RSH , DNS 和 SNMP 。

所有集群SIFs的防火墙策略默认为 "" 并且无法修改。

下表介绍了在创建 LIF 时分配给每个 LIF 的默认防火墙策略,具体取决于其角色( ONTAP 9.5 及更早版本)或服务策略( ONTAP 9.6 及更高版本):

防火墙策略

默认服务协议

默认访问

应用于的 LIF

管理

DNS , http , https , NDMP , NDMPS , NTP , SNMP , ssh

任何地址( 0.0.0.0/0 )

集群管理, SVM 管理和节点管理 LIF

MGMT-NFS

DNS , http , https , NDMP , NDMPS , NTP ,端口映射, SNMP , ssh

任何地址( 0.0.0.0/0 )

也支持 SVM 管理访问的数据 LIF

集群间

HTTPS , NDMP , NDMPS

任何地址( 0.0.0.0/0 )

所有集群间 LIF

数据

DNS , NDMP , NDMPS , portmap

任何地址( 0.0.0.0/0 )

所有数据 LIF

portmap 服务配置

portmap 服务会将 RPC 服务映射到它们侦听的端口。

portmap 服务在 ONTAP 9.3 及更早版本中始终可访问,在 ONTAP 9.4 至 ONTAP 9.6 中可配置,并从 ONTAP 9.7 开始自动进行管理。

  • 在 ONTAP 9.3 及更早版本中, portmap 服务( rpcbind )始终可通过网络配置中的端口 111 访问,该端口依赖于内置的 ONTAP 防火墙,而不是第三方防火墙。

  • 从 ONTAP 9.4 到 ONTAP 9.6 ,您可以修改防火墙策略,以控制是否可通过特定 LIF 访问 portmap 服务。

  • 从 ONTAP 9.7 开始,不再使用 portmap 防火墙服务。而是会自动为支持 NFS 服务的所有 LIF 打开 portmap 端口。

  • 在 ONTAP 9.4 到 ONTAP 9.6* 中,可以在防火墙中配置端口映射服务

本主题的其余部分将讨论如何为 ONTAP 9.4 到 ONTAP 9.6 版配置 portmap 防火墙服务。

根据您的配置,您可能会禁止对特定类型的 LIF (通常为管理 LIF 和集群间 LIF )访问服务。在某些情况下,您甚至可以禁止对数据 LIF 进行访问。

您可以预期的行为

ONTAP 9.4 到 ONTAP 9.6 的行为旨在在升级时实现无缝过渡。如果 portmap 服务已通过特定类型的 LIF 进行访问,则它将继续通过这些类型的 LIF 进行访问。与ONTAP 9.3及更早版本一样、您可以在防火墙策略中为LIF类型指定可在防火墙内访问的服务。

要使此行为生效,集群中的所有节点都必须运行 ONTAP 9.4 到 ONTAP 9.6 。仅影响入站流量。

新规则如下:

  • 升级到 9.4 到 9.6 版后, ONTAP 会将 portmap 服务添加到所有现有防火墙策略中,默认或自定义。

  • 在创建新集群或新 IP 空间时, ONTAP 仅会将 portmap 服务添加到默认数据策略中,而不会添加到默认管理或集群间策略中。

  • 您可以根据需要将 portmap 服务添加到默认策略或自定义策略中,并根据需要删除此服务。

如何添加或删除portmap服务

要将 portmap 服务添加到 SVM 或集群防火墙策略中(使其可在防火墙内访问),请输入:

system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

要从 SVM 或集群防火墙策略中删除 portmap 服务(使其无法在防火墙内访问),请输入:

system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap

您可以使用 network interface modify 命令将防火墙策略应用于现有 LIF 。有关完整的命令语法,请参见 "ONTAP 命令参考"

创建防火墙策略并将其分配给LIF

创建 LIF 时,系统会为每个 LIF 分配默认防火墙策略。在许多情况下,默认防火墙设置运行良好,您无需更改它们。如果要更改可访问 LIF 的网络服务或 IP 地址,可以创建自定义防火墙策略并将其分配给 LIF 。

关于此任务
  • 您不能使用创建防火墙策略 policy name datainterclustercluster`或 `mgmt

    这些值是为系统定义的防火墙策略保留的。

  • 您不能为集群 LIF 设置或修改防火墙策略。

    对于所有服务类型,集群 LIF 的防火墙策略均设置为 0.0.0.0/0 。

  • 如果需要从策略中删除服务,则必须删除现有防火墙策略并创建新策略。

  • 如果集群上启用了 IPv6 ,则可以使用 IPv6 地址创建防火墙策略。

    启用IPv6后、 dataintercluster,和 mgmt 防火墙策略的可接受地址列表中包括:::/0 (IPv6通配符)。

  • 在使用 System Manager 跨集群配置数据保护功能时,您必须确保允许列表中包含集群间 LIF IP 地址,并且允许在集群间 LIF 和公司拥有的防火墙上使用 HTTPS 服务。

    默认情况下、 intercluster 防火墙策略允许从所有IP地址(0.0.0.0/0或:::/0表示IPv6)进行访问、并启用HTTPS、NDMP和NDMP服务。如果修改此默认策略,或者为集群间 LIF 创建自己的防火墙策略,则必须将每个集群间 LIF IP 地址添加到允许列表中并启用 HTTPS 服务。

  • 从 ONTAP 9.6 开始,不支持 HTTPS 和 SSH 防火墙服务。

    在ONTAP 9.6中、 management-httpsmanagement-ssh LIF服务可用于HTTPS和SSH管理访问。

步骤
  1. 创建可供特定 SVM 上的 LIF 使用的防火墙策略:

    system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask

    您可以多次使用此命令为防火墙策略中的每个服务添加多个网络服务和允许的 IP 地址列表。

  2. 使用验证是否已正确添加此策略 system services firewall policy show 命令:

  3. 将防火墙策略应用于 LIF :

    network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name

  4. 使用验证是否已将此策略正确添加到LIF network interface show -fields firewall-policy 命令:

创建防火墙策略并将其分配给LIF的示例

以下命令将创建一个名为 data_http 的防火墙策略,用于从 10.10 子网上的 IP 地址访问 HTTP 和 HTTPS 协议,并将该策略应用于 SVM vs1 上名为 data1 的 LIF ,然后显示集群上的所有防火墙策略:

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data