本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理不受信任的用戶端網路:總覽

貢獻者

如果您使用的是用戶端網路、StorageGRID 只有在明確設定的端點上接受傳入用戶端流量、才能保護不受惡意攻擊的安全。

依預設、每個網格節點上的用戶端網路為_truste_。也就是StorageGRID 根據預設、不信任所有可用外部連接埠上每個網格節點的傳入連線(請參閱中的外部通訊資訊 網路準則)。

您可以StorageGRID 指定每個節點上的用戶端網路為_不受信任_、藉此減少對您的作業系統進行惡意攻擊的威脅。如果節點的用戶端網路不受信任、則節點只接受明確設定為負載平衡器端點之連接埠上的傳入連線。請參閱 設定負載平衡器端點

範例1:閘道節點僅接受HTTPS S3要求

假設您希望閘道節點拒絕用戶端網路上除HTTPS S3要求以外的所有傳入流量。您可以執行下列一般步驟:

  1. 從「負載平衡器端點」頁面、在連接埠443上設定S3 over HTTPS的負載平衡器端點。

  2. 在「不受信任的用戶端網路」頁面中、指定閘道節點上的用戶端網路不受信任。

儲存組態之後、除了連接埠443上的HTTPS S3要求和ICMP回應(ping)要求之外、閘道節點用戶端網路上的所有傳入流量都會捨棄。

範例2:儲存節點傳送S3平台服務要求

假設您想要從儲存節點啟用傳出S3平台服務流量、但想要防止任何傳入連線到用戶端網路上的該儲存節點。您可以執行以下一般步驟:

  • 在「不受信任的用戶端網路」頁面中、指出儲存節點上的用戶端網路不受信任。

儲存組態之後、儲存節點不再接受用戶端網路上的任何傳入流量、而是繼續允許傳出要求至Amazon Web Services。