Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理内部防火墙控制

PDF

StorageGRID在每个节点上都包含一个内部防火墙,通过使您能够控制对节点的网络访问来增强网格的安全性。使用防火墙阻止除特定网格部署所需端口之外的所有端口的网络访问。您在防火墙控制页面上所做的配置更改将部署到每个节点。

使用防火墙控制页面上的三个选项卡来自定义网格所需的访问权限。

  • 特权地址列表:使用此选项卡允许选择访问已关闭的端口。您可以使用“管理外部访问”选项卡以 CIDR 表示法添加可以访问已关闭端口的 IP 地址或子网。

  • 管理外部访问:使用此选项卡关闭默认打开的端口,或重新打开以前关闭的端口。

  • 不受信任的客户端网络:使用此选项卡指定节点是否信任来自客户端网络的入站流量。

    此选项卡上的设置将覆盖“管理外部访问”选项卡中的设置。

    • 具有不受信任的客户端网络的节点将仅接受该节点上配置的负载均衡器端点端口(全局、节点接口和节点类型绑定端点)上的连接。

    • 无论“管理外部网络”选项卡上的设置如何,负载均衡器端点端口都是不受信任的客户端网络上唯一开放的端口。

    • 当受信任时,管理外部访问选项卡下打开的所有端口以及客户端网络上打开的任何负载均衡器端点都是可访问的。

备注 您在一个选项卡上所做的设置可能会影响您在另一个选项卡上所做的访问更改。请务必检查所有选项卡上的设置,以确保您的网络按照您预期的方式运行。

要配置内部防火墙控制,请参阅"配置防火墙控制"

有关外部防火墙和网络安全的更多信息,请参阅"控制外部防火墙的访问"

特权地址列表和管理外部访问选项卡

特权地址列表选项卡使您能够注册一个或多个被授予访问已关闭的网格端口的 IP 地址。管理外部访问选项卡使您能够关闭对选定外部端口或所有打开的外部端口(外部端口是默认非网格节点可访问的端口)的外部访问。这两个选项卡通常可以一起使用,以自定义您需要允许电网的精确网络访问。

备注 默认情况下,特权 IP 地址没有内部网格端口访问权限。

示例 1:使用跳转主机执行维护任务

假设您想使用跳转主机(安全强化的主机)进行网络管理。您可以使用以下一般步骤:

  1. 使用特权地址列表选项卡添加跳转主机的IP地址。

  2. 使用“管理外部访问”选项卡来阻止所有端口。

注意 在阻止端口 443 和 8443 之前添加特权 IP 地址。任何当前连接到被阻止端口的用户(包括您)都将失去对网格管理器的访问权限,除非他们的 IP 地址已添加到特权地址列表中。

保存配置后,网格中管理节点上的所有外部端口都将被阻止,跳转主机除外。然后,您可以使用跳转主机更安全地在电网上执行维护任务。

示例 2:锁定敏感端口

假设您想要锁定敏感端口和该端口上的服务(例如,端口 22 上的 SSH)。您可以使用以下一般步骤:

  1. 使用特权地址列表选项卡仅向需要访问该服务的主机授予访问权限。

  2. 使用“管理外部访问”选项卡来阻止所有端口。

注意 在阻止访问分配给网格管理器和租户管理器的任何端口(预设端口为 443 和 8443)之前,添加特权 IP 地址。任何当前连接到被阻止端口的用户(包括您)都将失去对网格管理器的访问权限,除非他们的 IP 地址已添加到特权地址列表中。

保存配置后,端口 22 和 SSH 服务将可供特权地址列表上的主机使用。无论请求来自哪个接口,所有其他主机都将被拒绝访问该服务。

示例 3:禁用对未使用的服务的访问

在网络级别,您可以禁用一些您不想使用的服务。例如,要阻止 HTTP S3 客户端流量,您可以使用“管理外部访问”选项卡上的切换按钮来阻止端口 18084。

不受信任的客户端网络选项卡

如果您使用客户端网络,则可以通过仅在明确配置的端点上接受入站客户端流量来帮助保护StorageGRID免受恶意攻击。

默认情况下,每个网格节点上的客户端网络都是_受信任的_。也就是说,默认情况下, StorageGRID信任所有"可用的外部端口"

您可以通过指定每个节点上的客户端网络为_不受信任的_来减少对StorageGRID系统的恶意攻击的威胁。如果节点的客户端网络不受信任,则该节点仅接受明确配置为负载均衡器端点的端口上的入站连接。看"配置负载均衡器端点""配置防火墙控制"

示例 1:网关节点仅接受 HTTPS S3 请求

假设您希望网关节点拒绝客户端网络上除 HTTPS S3 请求之外的所有入站流量。您将执行以下常规步骤:

  1. "负载均衡器端点"页面上,在端口 443 上通过 HTTPS 为 S3 配置负载均衡器端点。

  2. 从防火墙控制页面中,选择不受信任以指定网关节点上的客户端网络不受信任。

保存配置后,网关节点客户端网络上的所有入站流量都将被丢弃,但端口 443 上的 HTTPS S3 请求和 ICMP 回显(ping)请求除外。

示例 2:存储节点发送 S3 平台服务请求

假设您想要启用来自存储节点的出站 S3 平台服务流量,但您想要阻止客户端网络上到该存储节点的任何入站连接。您将执行以下常规步骤:

  • 从防火墙控制页面的不受信任的客户端网络选项卡中,指示存储节点上的客户端网络不受信任。

保存配置后,存储节点不再接受客户端网络上的任何传入流量,但它继续允许向配置的平台服务目标发出出站请求。

示例 3:将对网格管理器的访问限制在子网内

假设您只想允许 Grid Manager 访问特定子网。您将执行以下步骤:

  1. 将管理节点的客户端网络附加到子网。

  2. 使用不受信任的客户端网络选项卡将客户端网络配置为不受信任。

  3. 创建管理接口负载均衡器端点时,输入端口并选择该端口将访问的管理接口。

  4. 对于不受信任的客户端网络,选择“是”。

  5. 使用“管理外部访问”选项卡来阻止所有外部端口(无论是否为该子网外的主机设置了特权 IP 地址)。

保存配置后,只有您指定的子网上的主机才能访问网格管理器。所有其他主机均被阻止。