配置内部防火墙
您可以配置StorageGRID 防火墙以控制对StorageGRID 节点上特定端口的网络访问。
-
您将使用登录到网格管理器 "支持的 Web 浏览器"。
-
您已拥有 "特定访问权限"。
-
如果您希望管理节点或网关节点仅在显式配置的端点上接受入站流量,则已定义负载平衡器端点。
更改客户端网络的配置时、如果未配置负载平衡器端点、现有客户端连接可能会失败。
StorageGRID 在每个节点上都有一个内部防火墙、可用于打开或关闭网格节点上的部分端口。您可以使用防火墙控制选项卡打开或关闭网格网络、管理网络和客户端网络上默认打开的端口。您还可以创建一个可访问关闭的网格端口的特权IP地址列表。如果您使用的是客户端网络、则可以指定节点是否信任客户端网络的入站流量、并且可以配置客户端网络上特定端口的访问。
将向网格外部的IP地址开放的端口数限制为仅限绝对必要的端口、可增强网格的安全性。您可以使用三个防火墙控制选项卡中每个选项卡上的设置来确保仅打开所需的端口。
有关使用防火墙控件的详细信息(包括示例)、请参见 "管理防火墙控制"。
有关外部防火墙和网络安全的详细信息、请参阅 "在外部防火墙处控制访问"。
访问防火墙控件
-
选择*configuration*>*Security*>*Firewall control*。
介绍了此页面上的三个选项卡 "管理防火墙控制"。
-
选择任何选项卡以配置防火墙控件。
您可以按任意顺序使用这些选项卡。您在一个选项卡上设置的配置不会限制在其他选项卡上可以执行的操作;但是、在一个选项卡上进行的配置更改可能会更改在其他选项卡上配置的端口的行为。
特权地址列表
您可以使用特权地址列表选项卡授予主机对默认关闭或通过管理外部访问选项卡上的设置关闭的端口的访问权限。
默认情况下、有权限的IP地址和子网不具有内部网格访问权限。此外、即使在"管理外部访问"选项卡中阻止了负载平衡器端点和在"特权地址列表"选项卡中打开的其他端口、也可以访问。
特权地址列表选项卡上的设置不能覆盖不可信客户端网络选项卡上的设置。 |
-
在特权地址列表选项卡上、输入要授予对已关闭端口的访问权限的地址或IP子网。
-
(可选)选择*以CIDR表示法添加其他IP地址或子网*以添加其他有权限的客户端。
向特权列表中添加尽可能少的地址。 -
(可选)选择*允许有权限的IP地址访问StorageGRID 内部端口*。请参见 "StorageGRID 内部端口"。
此选项会删除对内部服务的一些保护。如果可能、请将其禁用。 -
选择 * 保存 * 。
管理外部访问
在"管理外部访问"选项卡中关闭某个端口后、任何非网格IP地址都无法访问该端口、除非您将该IP地址添加到特权地址列表中。您只能关闭默认情况下处于打开状态的端口、并且只能打开已关闭的端口。
"管理外部访问"选项卡上的设置无法覆盖"不可信客户端网络"选项卡上的设置。例如、如果节点不可信、则客户端网络上会阻止端口SSH/ 22、即使此端口在管理外部访问选项卡上打开也是如此。不可信客户端网络选项卡上的设置会覆盖客户端网络上已关闭的端口(例如443、8443、9443)。 |
-
选择*管理外部访问*。此选项卡将显示一个表、其中包含网格中节点的所有外部端口(默认情况下可由非网格节点访问的端口)。
-
使用以下选项配置要打开和关闭的端口:
-
使用每个端口旁边的切换键打开或关闭选定端口。
-
选择*打开所有显示的端口*以打开表中列出的所有端口。
-
选择*关闭所有显示的端口*以关闭表中列出的所有端口。
如果关闭网格管理器端口443或8443、则当前连接到被阻止端口的任何用户(包括您)将无法访问网格管理器、除非其IP地址已添加到特权地址列表中。
使用表右侧的滚动条确保您已查看所有可用端口。使用搜索字段输入端口号以查找任何外部端口的设置。您可以输入部分端口号。例如,如果输入*2*,则会显示名称中包含字符串“2”的所有端口。 -
-
选择 * 保存 *
不可信客户端网络
如果节点的客户端网络不可信、则该节点仅接受配置为负载平衡器端点的端口以及您在此选项卡上选择的其他端口(可选)上的入站流量。您还可以使用此选项卡为扩展中添加的新节点指定默认设置。
如果尚未配置负载平衡器端点,现有客户端连接可能会失败。 |
在*不可信客户端网络*选项卡上所做的配置更改将覆盖*管理外部访问*选项卡上的设置。
-
选择*不可信客户端网络*。
-
在设置新节点默认值部分中、指定在扩展操作步骤 中向网格添加新节点时的默认设置。
-
可信(默认):在扩展中添加节点时、其客户端网络是可信的。
-
* 不可信 * :在扩展中添加节点时,其客户端网络不可信。
您可以根据需要返回此选项卡来更改特定新节点的设置。
此设置不会影响 StorageGRID 系统中的现有节点。 -
-
使用以下选项选择仅允许在显式配置的负载平衡器端点或其他选定端口上进行客户端连接的节点:
-
选择*在显示的节点上取消信任*,将表中显示的所有节点添加到不可信客户端网络列表中。
-
选择*在显示的节点上信任*,从不可信客户端网络列表中删除表中显示的所有节点。
-
使用每个端口旁边的切换功能将选定节点的客户端网络设置为可信或不可信。
例如,您可以选择*Untrust on displayed N点*将所有节点添加到Untrusted Client Network列表中,然后使用单个节点旁边的切换将该单个节点添加到Trusted Client Network列表中。
使用表右侧的滚动条确保您已查看所有可用节点。使用搜索字段输入节点名称以查找任何节点的设置。您可以输入部分名称。例如,如果输入*GW*,则会显示名称中包含字符串"gw"的所有节点。 -
-
(可选)选择要在不可信客户端网络上打开的任何其他端口。这些端口可以提供对网格管理器和/或租户管理器的访问。
例如、您可能希望使用此选项来确保可以在客户端网络上访问网格管理器进行维护。
这些附加端口在客户端网络上处于打开状态、无论它们是否在管理外部访问选项卡中关闭。 -
选择 * 保存 * 。
此时将立即应用并实施新的防火墙设置。如果尚未配置负载平衡器端点,现有客户端连接可能会失败。