Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

配置內部防火牆

PDF

您可以設定StorageGRID防火牆來控制對StorageGRID節點上特定連接埠的網路存取。

開始之前
關於此任務

StorageGRID在每個節點上都包含一個內部防火牆,可讓您開啟或關閉網格節點上的某些連接埠。您可以使用防火牆控制標籤來開啟或關閉網格網路、管理網路和用戶端網路上預設開啟的連接埠。您也可以建立可以存取已關閉的網格連接埠的特權 IP 位址清單。如果您使用用戶端網絡,您可以指定節點是否信任來自客戶端網路的入站流量,並且可以設定客戶端網路上特定連接埠的存取。

將對網格外部 IP 位址開放的連接埠數量限制為僅絕對必要的端口,可增強網格的安全性。您使用三個防火牆控制標籤上的設定來確保僅開啟所需的連接埠。

有關使用防火牆控制的詳細資訊(包括範例),請參閱"管理防火牆控制"

有關外部防火牆和網路安全的更多信息,請參閱"控制外部防火牆的訪問"

存取防火牆控制

步驟

  1. 選擇*設定* > 安全 > 防火牆控制

    此頁面上的三個選項卡的描述如下"管理防火牆控制"

  2. 選擇任意選項卡來配置防火牆控制。

    您可以按任意順序使用這些選項卡。您在一個選項卡上設定的配置不會限制您在其他選項卡上可以執行的操作;但是,您在一個選項卡上所做的配置更改可能會更改在其他選項卡上配置的連接埠的行為。

特權地址列表

您可以使用「特權位址清單」標籤授予主機對預設關閉或透過「管理外部存取」標籤上的設定關閉的連接埠的存取權。

預設情況下,特權 IP 位址和子網路沒有內部網格存取權限。此外,即使在「管理外部存取」標籤中被阻止,也可以存取在「特權位址清單」標籤中開啟的負載平衡器端點和其他連接埠。

註 「特權位址清單」標籤上的設定不​​能覆蓋「不受信任的用戶端網路」標籤上的設定。
步驟

  1. 在特權位址清單標籤上,輸入要授予對封閉連接埠的存取權限的位址或 IP 子網路。

  2. 或者,選擇*以 CIDR 表示法新增另一個 IP 位址或子網路*來新增其他特權用戶端。

    提示 將盡可能少的地址添加到特權清單中。

  3. 或者,選擇*允許特權 IP 位址存取StorageGRID內部連接埠*。看"StorageGRID內部連接埠"

    提示 此選項刪除了一些內部服務的保護。如果可能的話,將其保持禁用狀態。

  4. 選擇*儲存*。

管理外部訪問

當在「管理外部存取」標籤中關閉某個端口時,任何非網格 IP 位址都無法存取該端口,除非您將該 IP 位址新增至特權位址清單。您只能關閉預設開啟的端口,並且只能打開您已關閉的端口。

註 「管理外部存取」標籤上的設定不​​能覆蓋「不受信任的用戶端網路」標籤上的設定。例如,如果某個節點不受信任,則即使在「管理外部存取」標籤上開啟了連接埠 SSH/22,該連接埠也會在用戶端網路上被封鎖。不受信任的客戶端網路標籤上的設定將覆蓋客戶端網路上的已關閉連接埠(例如 443、8443、9443)。
步驟

  1. 選擇*管理外部存取*。此標籤顯示一個表,其中包含網格中節點的所有外部連接埠(預設非網格節點可存取的連接埠)。

  2. 使用以下選項配置要開啟和關閉的連接埠:

    • 使用每個連接埠旁邊的開關來開啟或關閉選定的連接埠。

    • 選擇*開啟所有顯示的連接埠*以開啟表中列出的所有連接埠。

    • 選擇*關閉所有顯示的連接埠*以關閉表中列出的所有連接埠。

      警告 如果您關閉 Grid Manager 連接埠 443 或 8443,則目前連接到封鎖連接埠的任何使用者(包括您)都會失去對 Grid Manager 的存取權限,除非他們的 IP 位址已新增至特權位址清單中。
    註 使用表格右側的捲軸確保您已查看所有可用連接埠。使用搜尋欄位輸入連接埠號碼來尋找任何外部連接埠的設定。您可以輸入部分連接埠號碼。例如,如果輸入 2,則會顯示名稱中包含字串「2」的所有連接埠。

  3. 選擇“儲存”

不受信任的客戶端網絡

如果節點的用戶端網路不受信任,則該節點僅接受配置為負載平衡器端點的連接埠上的入站流量,以及(可選)您在此標籤上選擇的其他連接埠。您也可以使用此標籤指定擴充功能中新增的新節點的預設值。

警告 如果尚未配置負載平衡器端點,現有客戶端連線可能會失敗。

您在「不受信任的用戶端網路」標籤上所做的設定變更將覆蓋「管理外部存取」標籤上的設定。

步驟

  1. 選擇*不受信任的客戶端網路*。

  2. 在「設定新節點預設值」部分中,指定在擴充過程中將新節點新增至網格時的預設設定。

    • 受信任(預設):當在擴充功能中新增節點時,其客戶端網路是受信任的。

    • 不受信任:當在擴展中添加節點時,其客戶端網路不受信任。

      根據需要,您可以返回此選項卡來更改特定新節點的設定。

    註 此設定不會影響StorageGRID系統中的現有節點。

  3. 使用下列選項來選擇應僅允許在明確配置的負載平衡器端點或其他選定連接埠上進行用戶端連線的節點:

    • 選擇*不信任顯示的節點*將表中顯示的所有節點新增至不受信任的客戶端網路清單。

    • 選擇「信任顯示的節點」以從不受信任的客戶端網路清單中刪除表中顯示的所有節點。

    • 使用每個節點旁邊的切換按鈕將所選節點的客戶端網路設定為受信任或不受信任。

      例如,您可以選擇*不信任顯示的節點*將所有節點新增至不受信任的用戶端網路清單中,然後使用單一節點旁的切換按鈕將該單一節點新增至受信任的用戶端網路清單。

    註 使用表格右側的捲軸確保您已查看所有可用節點。使用搜尋欄位輸入節點名稱來尋找任何節點的設定。您可以輸入部分名稱。例如,如果輸入 GW,則會顯示名稱中包含字串「GW」的所有節點。

  4. 選擇*儲存*。

    新的防火牆設定將立即套用並強制執行。如果尚未配置負載平衡器端點,現有客戶端連線可能會失敗。