Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理內部防火牆控制

PDF

StorageGRID在每個節點上都包含一個內部防火牆,透過讓您能夠控制對節點的網路存取來增強網格的安全性。使用防火牆阻止除特定網格部署所需連接埠之外的所有連接埠的網路存取。您在防火牆控制頁面上所做的設定變更將部署到每個節點。

使用防火牆控制頁面上的三個標籤來自訂網格所需的存取權限。

  • 特權位址清單:使用此標籤允許選擇存取已關閉的連接埠。您可以使用「管理外部存取」標籤以 CIDR 表示法新增可存取已關閉連接埠的 IP 位址或子網路。

  • 管理外部存取:使用此選項卡關閉預設開啟的端口,或重新開啟先前關閉的端口。

  • 不受信任的客戶端網路:使用此選項卡指定節點是否信任來自客戶端網路的入站流量。

    此標籤上的設定將覆蓋「管理外部存取」標籤中的設定。

    • 具有不受信任的客戶端網路的節點將僅接受該節點上配置的負載平衡器端點連接埠(全域、節點介面和節點類型綁定端點)上的連線。

    • 無論「管理外部網路」標籤上的設定為何,負載平衡器端點連接埠都是不受信任的用戶端網路上唯一開放的連接埠。

    • 當受信任時,管理外部存取標籤下開啟的所有連接埠以及用戶端網路上開啟的任何負載平衡器端點都是可存取的。

註 您在一個選項卡上所做的設定可能會影響您在另一個選項卡上所做的存取變更。請務必檢查所有選項卡上的設置,以確保您的網路按照您預期的方式運作。

若要設定內部防火牆控制,請參閱"配置防火牆控制"

有關外部防火牆和網路安全的更多信息,請參閱"控制外部防火牆的訪問"

特權地址清單和管理外部存取選項卡

特權位址清單標籤可讓您註冊一個或多個被授予存取已關閉的網格連接埠的 IP 位址。管理外部存取標籤可讓您關閉對選定外部連接埠或所有開啟的外部連接埠(外部連接埠是預設非網格節點可存取的連接埠)的外部存取。這兩個選項卡通常可以一起使用,以自訂您需要允許電網的精確網路存取。

註 預設情況下,特權 IP 位址沒有內部網格連接埠存取權限。

範例 1:使用跳轉主機執行維護任務

假設您想使用跳轉主機(安全強化的主機)進行網路管理。您可以使用以下一般步驟:

  1. 使用特權位址清單標籤新增跳轉主機的IP位址。

  2. 使用“管理外部存取”標籤來阻止所有連接埠。

警告 在封鎖連接埠 443 和 8443 之前新增特權 IP 位址。任何目前連接到被封鎖連接埠的使用者(包括您)都將失去對網格管理器的存取權限,除非他們的 IP 位址已新增至特權位址清單中。

儲存配置後,網格中管理節點上的所有外部連接埠都將被阻止,跳轉主機除外。然後,您可以使用跳轉主機更安全地在電網上執行維護任務。

範例 2:鎖定敏感端口

假設您想要鎖定敏感連接埠和該連接埠上的服務(例如,連接埠 22 上的 SSH)。您可以使用以下一般步驟:

  1. 使用特權位址清單標籤僅向需要存取該服務的主機授予存取權限。

  2. 使用“管理外部存取”標籤來阻止所有連接埠。

警告 在阻止存取指派給網格管理器和租用戶管理員的任何連接埠(預設連接埠為 443 和 8443)之前,請新增特權 IP 位址。任何目前連接到被封鎖連接埠的使用者(包括您)都將失去對網格管理器的存取權限,除非他們的 IP 位址已新增至特權位址清單中。

儲存配置後,連接埠 22 和 SSH 服務將可供特權位址清單上的主機使用。無論請求來自哪個接口,所有其他主機都將被拒絕存取該服務。

範例 3:停用對未使用的服務的訪問

在網路級別,您可以停用一些您不想使用的服務。例如,要阻止 HTTP S3 用戶端流量,您可以使用「管理外部存取」標籤上的切換按鈕來封鎖連接埠 18084。

不受信任的客戶端網路選項卡

如果您使用用戶端網絡,則可以透過僅在明確配置的端點上接受入站用戶端流量來協助保護StorageGRID免受惡意攻擊。

預設情況下,每個網格節點上的客戶端網路都是_受信任的_。也就是說,預設情況下, StorageGRID信任所有"可用的外部連接埠"

您可以透過指定每個節點上的用戶端網路為_不受信任的_來減少對StorageGRID系統的惡意攻擊的威脅。如果節點的用戶端網路不受信任,則該節點僅接受明確配置為負載平衡器端點的連接埠上的入站連線。看"配置負載平衡器端點""配置防火牆控制"

範例 1:網關節點僅接受 HTTPS S3 請求

假設您希望網關節點拒絕用戶端網路上除 HTTPS S3 請求之外的所有入站流量。您將執行以下常規步驟:

  1. "負載平衡器端點"頁面上,在連接埠 443 上透過 HTTPS 為 S3 配置負載平衡器端點。

  2. 從防火牆控制頁面中,選擇不受信任以指定網關節點上的用戶端網路不受信任。

儲存設定後,網關客戶端網路上的所有入站流量都將被丟棄,但連接埠 443 上的 HTTPS S3 請求和 ICMP 回顯(ping)請求除外。

範例 2:儲存節點發送 S3 平台服務請求

假設您想要啟用來自儲存節點的出站 S3 平台服務流量,但您想要阻止用戶端網路上到該儲存節點的任何入站連線。您將執行以下常規步驟:

  • 從防火牆控制頁面的不受信任的用戶端網路標籤中,指示儲存節點上的用戶端網路不受信任。

儲存配置後,儲存節點不再接受客戶端網路上的任何傳入流量,但它繼續允許向配置的平台服務目標發出出站請求。

範例 3:將對網格管理器的存取限制在子網路內

假設您只想允許 Grid Manager 存取特定子網路。您將執行以下步驟:

  1. 將管理節點的客戶端網路附加到子網路。

  2. 使用不受信任的客戶端網路標籤將客戶端網路配置為不受信任。

  3. 建立管理介面負載平衡器端點時,輸入連接埠並選擇該連接埠將存取的管理介面。

  4. 對於不受信任的客戶端網絡,選擇「是」。

  5. 使用「管理外部存取」標籤來封鎖所有外部連接埠(無論是否為該子網路外的主機設定了特權 IP 位址)。

儲存配置後,只有您指定的子網路上的主機才能存取網格管理器。所有其他主機均被封鎖。