为ONTAP网络中的LUN配置防火墙策略
建议更改
PDF
设置防火墙可增强集群的安全性,并有助于防止未经授权访问存储系统。默认情况下,板载防火墙配置为允许远程访问数据,管理和集群间 LIF 的一组特定 IP 服务。
从 ONTAP 9.10.1 开始:
-
防火墙策略已弃用、并由LIF服务策略取代。以前,板载防火墙是使用防火墙策略进行管理的。现在,可以使用 LIF 服务策略来实现此功能。
-
所有防火墙策略均为空,不会打开底层防火墙中的任何端口。而是必须使用 LIF 服务策略打开所有端口。
-
升级到9.10.1或更高版本后、无需执行任何操作即可从防火墙策略过渡到LIF服务策略。系统会根据上一个ONTAP 版本中使用的防火墙策略自动构建LIF服务策略。如果您使用脚本或其他工具创建和管理自定义防火墙策略,则可能需要升级这些脚本以创建自定义服务策略。
要了解更多信息,请参见 "ONTAP 9.6 及更高版本中的 LIF 和服务策略"。
防火墙策略可用于控制对 SSH , HTTP , HTTPS , Telnet , NTP , NDMP , NDMPS , RSH , DNS 或 SNMP 。无法为 NFS 或 SMB 等数据协议设置防火墙策略。
您可以通过以下方式管理防火墙服务和策略:
-
启用或禁用防火墙服务
-
显示当前防火墙服务配置
-
使用指定的策略名称和网络服务创建新的防火墙策略
-
将防火墙策略应用于逻辑接口
-
创建与现有策略完全相同的新防火墙策略
您可以使用此选项在同一 SVM 中创建具有类似特征的策略,或者将此策略复制到其他 SVM 。
-
显示有关防火墙策略的信息
-
修改防火墙策略使用的 IP 地址和网络掩码
-
删除 LIF 未使用的防火墙策略
防火墙策略和 LIF
LIF 防火墙策略用于限制通过每个 LIF 对集群的访问。您需要了解默认防火墙策略如何影响通过每种类型的 LIF 进行的系统访问,以及如何自定义防火墙策略以通过 LIF 提高或降低安全性。
使用或 network interface modify`命令配置LIF时 `network interface create、为参数指定的值 -firewall-policy`将确定允许访问LIF的服务协议和IP地址。有关的详细信息 `network interface,请参见"ONTAP 命令参考"。
在许多情况下,您可以接受默认防火墙策略值。在其他情况下,您可能需要限制对某些 IP 地址和某些管理服务协议的访问。可用的管理服务协议包括 SSH , HTTP , HTTPS , Telnet , NTP , NDMP , NDMPS , RSH , DNS 和 SNMP 。
所有集群SIFs的防火墙策略默认为 "" 并且无法修改。
下表介绍了在创建 LIF 时分配给每个 LIF 的默认防火墙策略,具体取决于其角色( ONTAP 9.5 及更早版本)或服务策略( ONTAP 9.6 及更高版本):
防火墙策略 |
默认服务协议 |
默认访问 |
应用于的 LIF |
管理 |
DNS , http , https , NDMP , NDMPS , NTP , SNMP , ssh |
任何地址( 0.0.0.0/0 ) |
集群管理, SVM 管理和节点管理 LIF |
MGMT-NFS |
DNS , http , https , NDMP , NDMPS , NTP ,端口映射, SNMP , ssh |
任何地址( 0.0.0.0/0 ) |
也支持 SVM 管理访问的数据 LIF |
集群间 |
HTTPS , NDMP , NDMPS |
任何地址( 0.0.0.0/0 ) |
所有集群间 LIF |
数据 |
DNS , NDMP , NDMPS , portmap |
任何地址( 0.0.0.0/0 ) |
所有数据 LIF |
portmap 服务配置
portmap 服务会将 RPC 服务映射到它们侦听的端口。
portmap 服务在 ONTAP 9.3 及更早版本中始终可访问,在 ONTAP 9.4 至 ONTAP 9.6 中可配置,并从 ONTAP 9.7 开始自动进行管理。
-
在 ONTAP 9.3 及更早版本中, portmap 服务( rpcbind )始终可通过网络配置中的端口 111 访问,该端口依赖于内置的 ONTAP 防火墙,而不是第三方防火墙。
-
从 ONTAP 9.4 到 ONTAP 9.6 ,您可以修改防火墙策略,以控制是否可通过特定 LIF 访问 portmap 服务。
-
从 ONTAP 9.7 开始,不再使用 portmap 防火墙服务。而是会自动为支持 NFS 服务的所有 LIF 打开 portmap 端口。
-
在 ONTAP 9.4 到 ONTAP 9.6* 中,可以在防火墙中配置端口映射服务
本主题的其余部分将讨论如何为 ONTAP 9.4 到 ONTAP 9.6 版配置 portmap 防火墙服务。
根据您的配置,您可能会禁止对特定类型的 LIF (通常为管理 LIF 和集群间 LIF )访问服务。在某些情况下,您甚至可以禁止对数据 LIF 进行访问。
ONTAP 9.4 到 ONTAP 9.6 的行为旨在在升级时实现无缝过渡。如果 portmap 服务已通过特定类型的 LIF 进行访问,则它将继续通过这些类型的 LIF 进行访问。与ONTAP 9.3及更早版本一样、您可以在防火墙策略中为LIF类型指定可在防火墙内访问的服务。
要使此行为生效,集群中的所有节点都必须运行 ONTAP 9.4 到 ONTAP 9.6 。仅影响入站流量。
新规则如下:
-
升级到 9.4 到 9.6 版后, ONTAP 会将 portmap 服务添加到所有现有防火墙策略中,默认或自定义。
-
在创建新集群或新 IP 空间时, ONTAP 仅会将 portmap 服务添加到默认数据策略中,而不会添加到默认管理或集群间策略中。
-
您可以根据需要将 portmap 服务添加到默认策略或自定义策略中,并根据需要删除此服务。
要将 portmap 服务添加到 SVM 或集群防火墙策略中(使其可在防火墙内访问),请输入:
system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
要从 SVM 或集群防火墙策略中删除 portmap 服务(使其无法在防火墙内访问),请输入:
system services firewall policy delete -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
您可以使用 network interface modify 命令将防火墙策略应用于现有 LIF 。有关此过程中所述命令的更多信息,请参见"ONTAP 命令参考"。
创建防火墙策略并将其分配给LIF
创建 LIF 时,系统会为每个 LIF 分配默认防火墙策略。在许多情况下,默认防火墙设置运行良好,您无需更改它们。如果要更改可访问 LIF 的网络服务或 IP 地址,可以创建自定义防火墙策略并将其分配给 LIF 。
-
您不能使用创建防火墙策略
policynamedata,intercluster,cluster`或 `mgmt。这些值是为系统定义的防火墙策略保留的。
-
您不能为集群 LIF 设置或修改防火墙策略。
对于所有服务类型,集群 LIF 的防火墙策略均设置为 0.0.0.0/0 。
-
如果需要从策略中删除服务,则必须删除现有防火墙策略并创建新策略。
-
如果集群上启用了 IPv6 ,则可以使用 IPv6 地址创建防火墙策略。
启用IPv6后、
data,intercluster,和mgmt防火墙策略的可接受地址列表中包括:::/0 (IPv6通配符)。 -
在使用 System Manager 跨集群配置数据保护功能时,您必须确保允许列表中包含集群间 LIF IP 地址,并且允许在集群间 LIF 和公司拥有的防火墙上使用 HTTPS 服务。
默认情况下、
intercluster防火墙策略允许从所有IP地址(0.0.0.0/0或:::/0表示IPv6)进行访问、并启用HTTPS、NDMP和NDMP服务。如果修改此默认策略,或者为集群间 LIF 创建自己的防火墙策略,则必须将每个集群间 LIF IP 地址添加到允许列表中并启用 HTTPS 服务。 -
从 ONTAP 9.6 开始,不支持 HTTPS 和 SSH 防火墙服务。
在ONTAP 9.6中、
management-https和management-sshLIF服务可用于HTTPS和SSH管理访问。
-
创建可供特定 SVM 上的 LIF 使用的防火墙策略:
system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask您可以多次使用此命令为防火墙策略中的每个服务添加多个网络服务和允许的 IP 地址列表。
-
使用验证是否已正确添加此策略
system services firewall policy show命令: -
将防火墙策略应用于 LIF :
network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name -
使用验证是否已将此策略正确添加到LIF
network interface show -fields firewall-policy命令:有关的详细信息
network interface show,请参见"ONTAP 命令参考"。
以下命令将创建一个名为 data_http 的防火墙策略,用于从 10.10 子网上的 IP 地址访问 HTTP 和 HTTPS 协议,并将该策略应用于 SVM vs1 上名为 data1 的 LIF ,然后显示集群上的所有防火墙策略:
system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show
Vserver Policy Service Allowed
------- ------------ ---------- -------------------
cluster-1
data
dns 0.0.0.0/0
ndmp 0.0.0.0/0
ndmps 0.0.0.0/0
cluster-1
intercluster
https 0.0.0.0/0
ndmp 0.0.0.0/0
ndmps 0.0.0.0/0
cluster-1
mgmt
dns 0.0.0.0/0
http 0.0.0.0/0
https 0.0.0.0/0
ndmp 0.0.0.0/0
ndmps 0.0.0.0/0
ntp 0.0.0.0/0
snmp 0.0.0.0/0
ssh 0.0.0.0/0
vs1
data_http
http 10.10.0.0/16
https 10.10.0.0/16
network interface modify -vserver vs1 -lif data1 -firewall-policy data_http
network interface show -fields firewall-policy
vserver lif firewall-policy
------- -------------------- ---------------
Cluster node1_clus_1
Cluster node1_clus_2
Cluster node2_clus_1
Cluster node2_clus_2
cluster-1 cluster_mgmt mgmt
cluster-1 node1_mgmt1 mgmt
cluster-1 node2_mgmt1 mgmt
vs1 data1 data_http
vs3 data2 data