本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
管理不受信任的用戶端網路
貢獻者
- 此文件 PDF 的網站
個別的 PDF 文件集合
Creating your file...
This may take a few minutes. Thanks for your patience.
Your file is ready
如果您使用的是用戶端網路、StorageGRID 只有在明確設定的端點上接受傳入用戶端流量、才能保護不受惡意攻擊的安全。
依預設、每個網格節點上的用戶端網路為_truste_。也就是說StorageGRID 、根據預設、不信任所有可用外部連接埠上每個網格節點的傳入連線(請參閱網路準則中的外部通訊資訊)。
您可以StorageGRID 指定每個節點上的用戶端網路為_不受信任_、藉此減少對您的作業系統進行惡意攻擊的威脅。如果節點的用戶端網路不受信任、則節點只接受明確設定為負載平衡器端點之連接埠上的傳入連線。
範例1:閘道節點僅接受HTTPS S3要求
假設您希望閘道節點拒絕用戶端網路上除HTTPS S3要求以外的所有傳入流量。您可以執行下列一般步驟:
-
從「負載平衡器端點」頁面、在連接埠443上設定S3 over HTTPS的負載平衡器端點。
-
在「不受信任的用戶端網路」頁面中、指定閘道節點上的用戶端網路不受信任。
儲存組態之後、除了連接埠443上的HTTPS S3要求和ICMP回應(ping)要求之外、閘道節點用戶端網路上的所有傳入流量都會捨棄。
範例2:儲存節點傳送S3平台服務要求
假設您想要從儲存節點啟用傳出S3平台服務流量、但想要防止任何傳入連線到用戶端網路上的該儲存節點。您可以執行以下一般步驟:
-
在「不受信任的用戶端網路」頁面中、指出儲存節點上的用戶端網路不受信任。
儲存組態之後、儲存節點不再接受用戶端網路上的任何傳入流量、而是繼續允許傳出要求至Amazon Web Services。
相關資訊