Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置内部防火墙

PDF

您可以配置StorageGRID防火墙来控制对StorageGRID节点上特定端口的网络访问。

开始之前
关于此任务

StorageGRID在每个节点上都包含一个内部防火墙,使您能够打开或关闭网格节点上的某些端口。您可以使用防火墙控制选项卡来打开或关闭网格网络、管理网络和客户端网络上默认打开的端口。您还可以创建可以访问已关闭的网格端口的特权 IP 地址列表。如果您使用客户端网络,您可以指定节点是否信任来自客户端网络的入站流量,并且可以配置客户端网络上特定端口的访问。

将对网格外部 IP 地址开放的端口数量限制为仅绝对必要的端口,可以增强网格的安全性。您使用三个防火墙控制选项卡上的设置来确保仅打开所需的端口。

有关使用防火墙控制的更多信息(包括示例),请参阅"管理防火墙控制"

有关外部防火墙和网络安全的更多信息,请参阅"控制外部防火墙的访问"

访问防火墙控制

步骤

  1. 选择*配置* > 安全 > 防火墙控制

    此页面上的三个选项卡的描述如下"管理防火墙控制"

  2. 选择任意选项卡来配置防火墙控制。

    您可以按任意顺序使用这些选项卡。您在一个选项卡上设置的配置不会限制您在其他选项卡上可以执行的操作;但是,您在一个选项卡上所做的配置更改可能会更改在其他选项卡上配置的端口的行为。

特权地址列表

您可以使用“特权地址列表”选项卡授予主机对默认关闭或通过“管理外部访问”选项卡上的设置关闭的端口的访问权限。

默认情况下,特权 IP 地址和子网没有内部网格访问权限。此外,即使在“管理外部访问”选项卡中被阻止,也可以访问在“特权地址列表”选项卡中打开的负载均衡器端点和其他端口。

备注 “特权地址列表”选项卡上的设置不能覆盖“不受信任的客户端网络”选项卡上的设置。
步骤

  1. 在特权地址列表选项卡上,输入要授予对封闭端口的访问权限的地址或 IP 子网。

  2. 或者,选择*以 CIDR 表示法添加另一个 IP 地址或子网*来添加其他特权客户端。

    提示 将尽可能少的地址添加到特权列表中。

  3. 或者,选择*允许特权 IP 地址访问StorageGRID内部端口*。看"StorageGRID内部端口"

    提示 此选项删除了一些内部服务的保护。如果可能的话,将其保持禁用状态。

  4. 选择*保存*。

管理外部访问

当在“管理外部访问”选项卡中关闭某个端口时,任何非网格 IP 地址都无法访问该端口,除非您将该 IP 地址添加到特权地址列表。您只能关闭默认打开的端口,并且只能打开您已关闭的端口。

备注 “管理外部访问”选项卡上的设置不能覆盖“不受信任的客户端网络”选项卡上的设置。例如,如果某个节点不受信任,则即使在“管理外部访问”选项卡上打开了端口 SSH/22,该端口也会在客户端网络上被阻止。不受信任的客户端网络选项卡上的设置将覆盖客户端网络上的已关闭端口(例如 443、8443、9443)。
步骤

  1. 选择*管理外部访问*。该选项卡显示一个表,其中包含网格中节点的所有外部端口(默认情况下非网格节点可访问的端口)。

  2. 使用以下选项配置要打开和关闭的端口:

    • 使用每个端口旁边的开关来打开或关闭选定的端口。

    • 选择*打开所有显示的端口*以打开表中列出的所有端口。

    • 选择*关闭所有显示的端口*以关闭表中列出的所有端口。

      注意 如果您关闭 Grid Manager 端口 443 或 8443,则当前连接到被阻止端口的任何用户(包括您)都将失去对 Grid Manager 的访问权限,除非他们的 IP 地址已添加到特权地址列表中。
    备注 使用表格右侧的滚动条确保您已查看所有可用端口。使用搜索字段输入端口号来查找任何外部端口的设置。您可以输入部分端口号。例如,如果输入 2,则会显示名称中包含字符串“2”的所有端口。

  3. 选择“保存”

不受信任的客户端网络

如果节点的客户端网络不受信任,则该节点仅接受配置为负载均衡器端点的端口上的入站流量,以及(可选)您在此选项卡上选择的其他端口。您还可以使用此选项卡指定扩展中添加的新节点的默认设置。

注意 如果尚未配置负载均衡器端点,现有客户端连接可能会失败。

您在“不受信任的客户端网络”选项卡上所做的配置更改将覆盖“管理外部访问”选项卡上的设置。

步骤

  1. 选择*不受信任的客户端网络*。

  2. 在“设置新节点默认值”部分中,指定在扩展过程中将新节点添加到网格时的默认设置。

    • 受信任(默认):当在扩展中添加节点时,其客户端网络是受信任的。

    • 不受信任:当在扩展中添加节点时,其客户端网络不受信任。

      根据需要,您可以返回此选项卡来更改特定新节点的设置。

    备注 此设置不会影响StorageGRID系统中的现有节点。

  3. 使用以下选项来选择应仅允许在明确配置的负载均衡器端点或其他选定端口上进行客户端连接的节点:

    • 选择*不信任显示的节点*将表中显示的所有节点添加到不受信任的客户端网络列表中。

    • 选择“信任显示的节点”以从不受信任的客户端网络列表中删除表中显示的所有节点。

    • 使用每个节点旁边的切换按钮将所选节点的客户端网络设置为受信任或不受信任。

      例如,您可以选择*不信任显示的节点*将所有节点添加到不受信任的客户端网络列表中,然后使用单个节点旁边的切换按钮将该单个节点添加到受信任的客户端网络列表中。

    备注 使用表格右侧的滚动条确保您已查看所有可用节点。使用搜索字段输入节点名称来查找任何节点的设置。您可以输入部分名称。例如,如果输入 GW,则会显示名称中包含字符串“GW”的所有节点。

  4. 选择*保存*。

    新的防火墙设置将立即应用并强制执行。如果尚未配置负载均衡器端点,现有客户端连接可能会失败。