管理內部防火牆控制
StorageGRID 在每個節點上都包含內部防火牆、可讓您控制對節點的網路存取、藉此增強網格的安全性。使用防火牆可防止網路存取所有連接埠、但您的特定網格部署所需的連接埠除外。您在「防火牆控制」頁面上所做的組態變更會部署到每個節點。
使用「防火牆控制」頁面上的三個索引標籤、自訂您網格所需的存取權限。
-
* 貴賓位址清單 * :使用此索引標籤可允許選取的存取已關閉的連接埠。您可以使用「管理外部存取」索引標籤、以 CIDR 表示法新增 IP 位址或子網路、以存取關閉的連接埠。
-
* 管理外部存取 * :使用此索引標籤關閉預設開啟的連接埠、或重新開啟先前關閉的連接埠。
-
* 不受信任的用戶端網路 * :使用此索引標籤指定節點是否信任來自用戶端網路的傳入流量。
此索引標籤上的設定會覆寫「管理外部存取」索引標籤中的設定。
-
具有不受信任用戶端網路的節點只會接受在該節點上設定的負載平衡器端點連接埠(全域、節點介面和節點類型繫結端點)上的連線。
-
無論「管理外部網路」標籤上的設定為何、負載平衡器端點連接埠 _ 都是不受信任用戶端網路上唯一開放的連接埠 _ 。
-
當信任時、所有在「管理外部存取」索引標籤下開啟的連接埠、以及在「用戶端網路」上開啟的任何負載平衡器端點都可以存取。
-
您在一個索引標籤上所做的設定可能會影響您在其他索引標籤上所做的存取變更。請務必檢查所有索引標籤上的設定、以確保您的網路運作方式符合預期。 |
若要設定內部防火牆控制項,請參閱"設定防火牆控制項"。
如需外部防火牆和網路安全性的詳細資訊,請參閱"控制外部防火牆的存取"。
權限位址清單和管理外部存取索引標籤
「貴賓位址清單」標籤可讓您登錄一或多個 IP 位址、以存取已關閉的網格連接埠。「管理外部存取」索引標籤可讓您關閉外部存取、以存取選取的外部連接埠或所有開啟的外部連接埠(外部連接埠為非網格節點預設可存取的連接埠)。這兩個索引標籤通常可以一起使用、以自訂您需要的確切網路存取、以供網格使用。
預設情況下、特權 IP 位址沒有內部網格連接埠存取。 |
範例 1 :使用跳躍主機來執行維護工作
假設您想要使用跨接主機(安全強化的主機)進行網路管理。您可以使用下列一般步驟:
-
使用「貴賓位址清單」標籤新增跳躍主機的 IP 位址。
-
使用「管理外部存取」索引標籤來封鎖所有連接埠。
在封鎖連接埠 443 和 8443 之前、請先新增權限 IP 位址。目前連線至封鎖連接埠的任何使用者(包括您)將無法存取 Grid Manager 、除非他們的 IP 位址已新增至「貴賓」位址清單。 |
儲存組態之後、除了跳躍主機之外、所有主機都會封鎖網格中管理節點上的所有外部連接埠。然後、您可以使用跳躍主機更安全地在網格上執行維護工作。
範例 2 :鎖定敏感連接埠
假設您想要鎖定敏感連接埠和該連接埠上的服務(例如、連接埠 22 上的 SSH )。您可以使用下列一般步驟:
-
使用「貴賓」位址清單標籤、僅授予需要存取服務的主機存取權。
-
使用「管理外部存取」索引標籤來封鎖所有連接埠。
在您封鎖存取任何指派給存取 Grid Manager 和 Tenant Manager 的連接埠(預設連接埠為 443 和 8443 )之前、請先新增特權 IP 位址。目前連線至封鎖連接埠的任何使用者(包括您)將無法存取 Grid Manager 、除非他們的 IP 位址已新增至「貴賓」位址清單。 |
儲存組態後、連接埠 22 和 SSH 服務將可用於權限位址清單上的主機。無論要求來自哪個介面、所有其他主機都將無法存取服務。
範例 3 :停用對未使用服務的存取
在網路層級、您可以停用一些不想使用的服務。例如、若要封鎖 HTTP S3 用戶端流量、您可以使用「管理外部存取」索引標籤上的切換來封鎖連接埠 18084 。
不受信任的用戶端網路索引標籤
如果您使用的是用戶端網路、StorageGRID 只有在明確設定的端點上接受傳入用戶端流量、才能保護不受惡意攻擊的安全。
依預設、每個網格節點上的用戶端網路為_truste_。也就是說,根據預設, StorageGRID 會信任所有上每個網格節點"可用的外部連接埠"的傳入連線。
您可以StorageGRID 指定每個節點上的用戶端網路為_不受信任_、藉此減少對您的作業系統進行惡意攻擊的威脅。如果節點的用戶端網路不受信任、則節點只接受明確設定為負載平衡器端點之連接埠上的傳入連線。請參閱"設定負載平衡器端點"和"設定防火牆控制項"。
範例1:閘道節點僅接受HTTPS S3要求
假設您希望閘道節點拒絕用戶端網路上除HTTPS S3要求以外的所有傳入流量。您可以執行下列一般步驟:
-
"負載平衡器端點"在頁面中、透過 HTTPS 在連接埠 443 上設定 S3 的負載平衡器端點。
-
在「防火牆控制」頁面中、選取「不受信任」、以指定「閘道節點」上的「用戶端網路」不可信任。
儲存組態之後、除了連接埠443上的HTTPS S3要求和ICMP回應(ping)要求之外、閘道節點用戶端網路上的所有傳入流量都會捨棄。
範例2:儲存節點傳送S3平台服務要求
假設您想要從儲存節點啟用輸出 S3 平台服務流量、但想要防止任何傳入連線到用戶端網路上的該儲存節點。您可以執行以下一般步驟:
-
從「防火牆控制」頁面的「不受信任的用戶端網路」索引標籤、指出儲存節點上的用戶端網路不受信任。
儲存組態後、儲存節點將不再接受用戶端網路上的任何傳入流量、但仍會繼續允許傳出要求至設定的平台服務目的地。
範例 3 :將網格管理程式的存取限制在子網路上
假設您只想在特定子網路上允許 Grid Manager 存取。您可以執行下列步驟:
-
將管理節點的用戶端網路連接至子網路。
-
使用不受信任的用戶端網路索引標籤、將用戶端網路設定為不受信任。
-
當您建立管理介面負載平衡器端點時、請輸入連接埠、然後選取連接埠將存取的管理介面。
-
對於不受信任的用戶端網路、請選取 * 是 * 。
-
使用管理外部存取索引標籤來封鎖所有外部連接埠(無論是否為該子網路以外的主機設定了權限 IP 位址)。
儲存組態之後、只有指定子網路上的主機才能存取 Grid Manager 。所有其他主機都會遭到封鎖。