管理内部防火墙控制
StorageGRID 在每个节点上都包含一个内部防火墙、可通过控制对节点的网络访问来增强网格的安全性。使用防火墙可阻止对特定网格部署所需端口以外的所有端口进行网络访问。在防火墙控制页面上所做的配置更改将部署到每个节点。
使用防火墙控制页面上的三个选项卡自定义网格所需的访问权限。
-
特权地址列表:使用此选项卡允许对关闭的端口进行选定访问。您可以使用CIDR表示法添加IP地址或子网、以访问使用管理外部访问选项卡关闭的端口。
-
管理外部访问:使用此选项卡关闭默认打开的端口,或重新打开先前关闭的端口。
-
不可信客户端网络:使用此选项卡指定节点是否信任来自客户端网络的入站流量。
此选项卡还提供了指定在配置了不可信客户端网络时要打开的其他端口的选项。这些端口可以提供对网格管理器和/或租户管理器的访问。
此选项卡上的设置将覆盖管理外部访问选项卡中的设置。
-
具有不可信客户端网络的节点仅接受在该节点上配置的负载平衡器端点端口(全局端点、节点接口和受节点类型制约的端点)上的连接。
-
在不可信客户端网络选项卡下打开的其他端口将在所有不可信客户端网络上打开、即使未配置负载平衡器端点也是如此。
-
无论"管理外部网络"选项卡上的设置如何、负载平衡器端点端口和选定的其他端口_都是不可信客户端网络上唯一打开的端口_。
-
如果受信任、则可以访问在"管理外部访问"选项卡下打开的所有端口以及在客户端网络上打开的任何负载平衡器端点。
-
您在一个选项卡上所做的设置可能会影响您在另一个选项卡上所做的访问更改。请务必检查所有选项卡上的设置、以确保您的网络按预期方式运行。 |
要配置内部防火墙控制、请参见 "配置防火墙控件"。
有关外部防火墙和网络安全的详细信息、请参阅 "在外部防火墙处控制访问"。
特权地址列表和管理外部访问选项卡
通过特权地址列表选项卡、您可以注册一个或多个被授予对关闭的网格端口访问权限的IP地址。通过"管理外部访问"选项卡、您可以关闭对选定外部端口或所有打开的外部端口的外部访问(默认情况下、外部端口可由非网格节点访问)。这两个选项卡通常可结合使用来定制网格所需的确切网络访问。
默认情况下、有权限的IP地址不具有内部网格端口访问权限。 |
示例1:使用跳转主机执行维护任务
假设您要使用跳转主机(一个增强安全的主机)进行网络管理。您可以使用以下常规步骤:
-
使用特权地址列表选项卡添加跳转主机的IP地址。
-
使用管理外部访问选项卡阻止所有端口。
在阻止端口443和8443之前、请添加特权IP地址。当前连接到被阻止端口的任何用户(包括您)将无法访问Grid Manager、除非其IP地址已添加到特权地址列表中。 |
保存配置后、网格中管理节点上的所有外部端口都将被阻止用于除跳转主机之外的所有主机。然后、您可以使用跳转主机更安全地在网格上执行维护任务。
示例2:限制对网格管理器和租户管理器的访问
假设出于安全原因、您希望限制对网格管理器和租户管理器的访问。您可以使用以下常规步骤:
-
使用"管理外部访问"选项卡上的切换功能阻止端口443。
-
使用管理外部访问选项卡上的切换以允许访问端口8443。
-
使用管理外部访问选项卡上的切换以允许访问端口9443。
保存配置后、主机将无法访问端口443、但仍可通过端口8443访问网格管理器、并通过端口9443访问租户管理器。
示例3:锁定敏感端口
假设您要锁定敏感端口以及该端口上的服务(例如、端口22上的SSH)。您可以使用以下常规步骤:
-
使用特权地址列表选项卡仅向需要访问服务的主机授予访问权限。
-
使用管理外部访问选项卡阻止所有端口。
在阻止端口443和8443之前、请添加特权IP地址。当前连接到被阻止端口的任何用户(包括您)将无法访问Grid Manager、除非其IP地址已添加到特权地址列表中。 |
保存配置后、端口22和SSH服务将可供特权地址列表中的主机使用。无论请求来自哪个接口、所有其他主机都将被拒绝访问此服务。
示例4:禁止访问未使用的服务
在网络级别、您可以禁用一些不打算使用的服务。例如、如果您不提供Swift访问、则应执行以下常规步骤:
-
使用管理外部访问选项卡上的切换功能阻止端口18083。
-
使用管理外部访问选项卡上的切换功能阻止端口18085。
保存配置后、存储节点将不再允许Swift连接、而是继续允许访问未阻止的端口上的其他服务。
不可信客户端网络选项卡
如果您使用的是客户端网络、则可以通过仅在显式配置的端点或您在此选项卡上选择的其他端口上接受入站客户端流量来帮助保护StorageGRID 免受恶意攻击。
默认情况下,每个网格节点上的客户端网络均为 trusted 。也就是说、默认情况下、StorageGRID 信任所有网格节点的入站连接 "可用外部端口"。
您可以通过指定每个节点上的客户端网络为 untrused_ 来减少对 StorageGRID 系统的恶意攻击威胁。如果节点的客户端网络不可信、则该节点仅接受显式配置为负载平衡器端点的端口以及使用防火墙控制页面上的不可信客户端网络选项卡指定的任何其他端口上的入站连接。请参见 "配置负载平衡器端点" 和 "配置防火墙控件"。
示例 1 :网关节点仅接受 HTTPS S3 请求
假设您希望网关节点拒绝客户端网络上除 HTTPS S3 请求以外的所有入站流量。您应执行以下常规步骤:
-
从 "负载平衡器端点" 页面上、通过端口443为基于HTTPS的S3配置负载平衡器端点。
-
在防火墙控制页面中、选择不可信以指定网关节点上的客户端网络不可信。
保存配置后,网关节点客户端网络上的所有入站流量都会被丢弃,但端口 443 上的 HTTPS S3 请求和 ICMP 回显( ping )请求除外。
示例 2 :存储节点发送 S3 平台服务请求
假设您要启用来自存储节点的出站S3平台服务流量、但要阻止客户端网络上与该存储节点的任何入站连接。您应执行此常规步骤:
-
在防火墙控制页面的不可信客户端网络选项卡中、指示存储节点上的客户端网络不可信。
保存配置后、存储节点将不再接受客户端网络上的任何传入流量、但仍允许向已配置的平台服务目标发出出站请求。
示例3:限制对网格管理器的子网访问
假设您希望仅允许对特定子网进行网格管理器访问。您应执行以下步骤:
-
将管理节点的客户端网络连接到子网。
-
使用不可信客户端网络选项卡将客户端网络配置为不可信。
-
在选项卡的*在不可信客户端网络上打开的其他端口*部分,添加端口443或8443。
-
使用管理外部访问选项卡阻止所有外部端口(无论是否为该子网以外的主机设置了特权IP地址)。
保存配置后、只有指定子网上的主机才能访问网格管理器。所有其他主机均被阻止。