Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定內部防火牆

貢獻者
PDF

您可以設定 StorageGRID 防火牆、以控制對 StorageGRID 節點上特定連接埠的網路存取。

開始之前

  • 您將使用登入Grid Manager "支援的網頁瀏覽器"

  • 您有 "特定存取權限"

  • 您已檢閱中的資訊 "管理防火牆控制""網路準則"

  • 如果您希望管理節點或閘道節點僅接受明確設定的端點上的傳入流量、則表示您已定義負載平衡器端點。

    註 變更用戶端網路的組態時、如果尚未設定負載平衡器端點、現有的用戶端連線可能會失敗。
關於這項工作

StorageGRID 在每個節點上都有內部防火牆、可讓您開啟或關閉網格節點上的某些連接埠。您可以使用「防火牆控制」索引標籤來開啟或關閉預設在 Grid Network 、 Admin Network 和 Client Network 上開啟的連接埠。您也可以建立權限 IP 位址清單、以存取已關閉的網格連接埠。如果您使用的是用戶端網路、您可以指定節點是否信任來自用戶端網路的傳入流量、也可以設定用戶端網路上特定連接埠的存取。

將開放給網格外部 IP 位址的連接埠數量限制為只有絕對必要的連接埠數量、可增強網格的安全性。您可以使用三個防火牆控制索引標籤上的每個設定、確保只開啟所需的連接埠。

如需使用防火牆控制項的詳細資訊、包括範例、請參閱 "管理防火牆控制"

如需外部防火牆和網路安全性的詳細資訊、請參閱 "控制外部防火牆的存取"

存取防火牆控制

步驟

  1. 選擇 * 組態 * > * 安全性 * > * 防火牆控制 * 。

    此頁面上的三個索引標籤如所述 "管理防火牆控制"

  2. 選取任何索引標籤以設定防火牆控制項。

    您可以依任何順序使用這些索引標籤。您在一個索引標籤上設定的組態不會限制您可以在其他索引標籤上執行的動作;不過、您在一個索引標籤上所做的組態變更可能會變更在其他索引標籤上設定的連接埠行為。

特殊權限位址清單

您可以使用「貴賓」位址清單標籤、將預設關閉或由「管理外部存取」標籤上的設定關閉的連接埠、授予主機存取權。

預設情況下、特權 IP 位址和子網路沒有內部網格存取。此外、即使在「管理外部存取」索引標籤中遭到封鎖、仍可存取負載平衡器端點和在「貴賓」位址清單索引標籤中開啟的其他連接埠。

註 「貴賓」位址清單標籤上的設定無法覆寫「不受信任的用戶端網路」標籤上的設定。
步驟

  1. 在「貴賓位址清單」標籤上、輸入您要授予封閉連接埠存取權的位址或 IP 子網路。

  2. 您也可以選擇 * 以 CIDR 表示法新增其他 IP 位址或子網路 * 來新增其他的特殊權限用戶端。

    提示 將盡可能少的位址新增至權限清單。

  3. (可選)選擇 * 允許特權 IP 地址訪問 StorageGRID 內部端口 * 。請參閱 "內部連接埠StorageGRID"

    提示 此選項會移除內部服務的某些保護。如果可能、請將其停用。

  4. 選擇*保存*。

管理外部存取

在「管理外部存取」索引標籤中關閉連接埠時、除非您將 IP 位址新增至特殊權限位址清單、否則任何非網格 IP 位址都無法存取連接埠。您只能關閉預設開啟的連接埠、而且只能開啟已關閉的連接埠。

註 「管理外部存取」索引標籤上的設定無法覆寫「不受信任的用戶端網路」索引標籤上的設定。例如、如果節點不受信任、則即使在「管理外部存取」索引標籤上開啟連接埠 SSH/22 、用戶端網路上的連接埠 SSH/22 也會遭到封鎖。「不受信任的用戶端網路」標籤上的設定會覆寫用戶端網路上的關閉連接埠(例如 443 、 8443 、 9443 )。
步驟

  1. 選取 * 管理外部存取 * 。 索引標籤會顯示一個表格、其中包含網格中節點的所有外部連接埠(預設為非網格節點可存取的連接埠)。

  2. 使用下列選項設定您要開啟和關閉的連接埠:

    • 使用每個連接埠旁的切換開關來開啟或關閉選取的連接埠。

    • 選取 * 開啟所有顯示的連接埠 * 以開啟表格中列出的所有連接埠。

    • 選取 * 關閉所有顯示的連接埠 * 以關閉表格中列出的所有連接埠。

      警告 如果您關閉 Grid Manager 連接埠 443 或 8443 、除非已將目前連線至封鎖連接埠的任何使用者(包括您)的 IP 位址新增至「貴賓」位址清單、否則他們將無法存取 Grid Manager 。
    註 使用表格右側的捲軸、確定您已檢視所有可用的連接埠。使用搜尋欄位、輸入連接埠編號、以尋找任何外部連接埠的設定。您可以輸入部分連接埠號碼。例如,如果您輸入 2 ,則會顯示字串 "2" 做為其名稱一部分的所有連接埠。

  3. 選擇*保存*

不受信任的用戶端網路

如果節點的用戶端網路不受信任、則節點只接受設定為負載平衡器端點的連接埠上的傳入流量、以及您在此索引標籤上選取的其他連接埠(選擇性)。您也可以使用此索引標籤來指定擴充中新增節點的預設設定。

警告 如果尚未設定負載平衡器端點、現有的用戶端連線可能會失敗。

您在 * 不受信任的用戶端網路 * 標籤上所做的組態變更會覆寫 * 管理外部存取 * 標籤上的設定。

步驟

  1. 選取 * 不受信任的用戶端網路 * 。

  2. 在 Set New Node Default (設定新節點預設值)區段中、指定在擴充程序中將新節點新增至網格時的預設設定值。

    • * Trusted * (預設值):當節點新增至擴充時、其 Client Network 會受到信任。

    • 不受信任:在擴充中新增節點時、其用戶端網路不受信任。

      視需要、您可以返回此索引標籤、變更特定新節點的設定。

    註 此設定不會影響StorageGRID 到您的不完善系統中現有的節點。

  3. 使用下列選項來選取節點、這些節點只能在明確設定的負載平衡器端點或其他選取的連接埠上允許用戶端連線:

    • 選取 * 不信任顯示的節點 * 、將表格中顯示的所有節點新增至「不受信任的用戶端網路」清單。

    • 選取 * 信任顯示的節點 * 、將表格中顯示的所有節點從「不受信任的用戶端網路」清單中移除。

    • 使用每個節點旁的切換、將所選節點的 Client Network 設為 Trusted 或 Trusted 。

      例如、您可以選取 * 在顯示的節點上不信任 * 、將所有節點新增至「不信任的用戶端網路」清單、然後使用個別節點旁的切換、將該單一節點新增至「信任的用戶端網路」清單。

    註 使用表格右側的捲軸、確定您已檢視所有可用的節點。使用搜尋欄位輸入節點名稱、即可尋找任何節點的設定。您可以輸入部分名稱。例如、如果您輸入 * GW* 、則會顯示字串 "Gw" 做為其名稱一部分的所有節點。

  4. 選擇*保存*。

    新的防火牆設定會立即套用及強制執行。如果尚未設定負載平衡器端點、現有的用戶端連線可能會失敗。