Tường lửa dựa trên máy chủ OneFS

Trong số các tính năng bảo mật được giới thiệu trong OneFS 9.5 có tường lửa dựa trên máy chủ mới. Tường lửa này cho phép quản trị viên cụm cấu hình chính sách và quy tắc trên cụm PowerScale để đáp ứng nhu cầu quản lý mạng và ứng dụng cũng như các yêu cầu bảo mật của một tổ chức.

Tường lửa OneFS bảo vệ mạng bên ngoài hoặc mạng front-end của cụm và hoạt động như một bộ lọc gói tin cho lưu lượng truy cập đến. Tường lửa này khả dụng khi cài đặt hoặc nâng cấp lên OneFS 9.5 nhưng bị vô hiệu hóa theo mặc định trong cả hai trường hợp. Tuy nhiên, cấu hình tăng cường OneFS STIG tự động bật tường lửa và các chính sách mặc định, ngoài việc kích hoạt thủ công.

Tường lửa thường quản lý việc lọc gói tin IP theo Hướng dẫn cấu hình bảo mật OneFS , đặc biệt liên quan đến việc sử dụng cổng mạng. Kiểm soát gói tin được quản lý bởi các chính sách tường lửa, có một hoặc nhiều quy tắc riêng lẻ.

 Một biện pháp bảo mật tốt nhất là bật tường lửa OneFS bằng các chính sách mặc định, với bất kỳ điều chỉnh nào khi cần thiết. Quy trình cấu hình được khuyến nghị như sau:

Về cơ bản, tường lửa OneFS được xây dựng dựa trên ipfirewall hay ipfw, là tường lửa trạng thái gốc, bộ lọc gói tin và tiện ích kiểm soát lưu lượng của FreeBSD.

Cấu hình và quản lý tường lửa được thực hiện thông qua CLI, hoặc API nền tảng, hoặc WebUI, và OneFS 9.5 giới thiệu một trang Cấu hình tường lửa mới để hỗ trợ điều này. Lưu ý rằng tường lửa chỉ khả dụng khi một cụm đã chạy OneFS 9.5 và tính năng này đã được bật thủ công, kích hoạt dịch vụ isi_firewall_d. Cấu hình tường lửa được chia thành gconfig, xử lý các thiết lập và chính sách, và bảng ipfw, lưu trữ các quy tắc.

Tường lửa xử lý nhẹ nhàng việc di chuyển IP động SmartConnect giữa các nút vì chính sách tường lửa được áp dụng cho mỗi nhóm mạng. Ngoài ra, việc dựa trên nhóm mạng cho phép tường lửa hỗ trợ các vùng truy cập OneFS và các mô hình chia sẻ/đa thuê bao. 

Các quy tắc tường lửa riêng lẻ, về cơ bản là các lớp bao bọc đơn giản xung quanh các quy tắc ipfw, hoạt động bằng cách khớp các gói thông qua 5 bộ xác định duy nhất một phiên IPv4 UDP hoặc TCP:

• Địa chỉ IP nguồn
• Cổng nguồn
• Địa chỉ IP đích
• Cảng đích
• Giao thức vận chuyển

Các quy tắc sau đó được sắp xếp trong chính sách tường lửa, có thể áp dụng cho một hoặc nhiều nhóm mạng. 

Lưu ý rằng mỗi nhóm chỉ có thể áp dụng một chính sách tường lửa duy nhất. Nếu không có chính sách tường lửa tùy chỉnh nào được cấu hình cho nhóm mạng, nhóm sẽ tự động sử dụng chính sách tường lửa mặc định toàn cầu.

Khi được bật, chức năng tường lửa OneFS sẽ có phạm vi toàn cụm và tất cả các gói tin đến từ giao diện bên ngoài sẽ đi qua chính sách tùy chỉnh hoặc chính sách toàn cục mặc định trước khi đến các đường dẫn xử lý giao thức. Các gói tin được chuyển đến tường lửa sẽ được so sánh với từng quy tắc trong chính sách, theo thứ tự số quy tắc. Nhiều quy tắc có cùng số được phép, trong trường hợp đó, chúng sẽ được xử lý theo thứ tự chèn. Khi tìm thấy sự trùng khớp, hành động tương ứng với quy tắc trùng khớp đó sẽ được thực hiện. Một gói tin sẽ được kiểm tra so với bộ quy tắc đang hoạt động ở nhiều nơi trong ngăn xếp giao thức và luồng cơ bản như sau: 

1. Nhận giao diện logic cho các gói tin đến.
2. Tìm tất cả các nhóm mạng được gán cho giao diện này.
3. So sánh từng nhóm mạng này với địa chỉ IP đích để tìm nhóm phù hợp (chính sách tường lửa tùy chỉnh hoặc chính sách toàn cầu mặc định).
4. So sánh từng quy tắc với dịch vụ (giao thức và cổng đích) và địa chỉ IP nguồn trong nhóm này theo thứ tự giá trị chỉ mục thấp nhất. Nếu khớp, hãy thực hiện các hành động theo quy tắc liên quan.
5. Nếu không có quy tắc nào khớp, hãy chuyển đến quy tắc cuối cùng (từ chối tất cả hoặc cho phép tất cả), được chỉ định khi tạo chính sách.

Tường lửa OneFS tự động dành riêng 20.000 quy tắc trong bảng ipfw cho các chính sách và quy tắc tùy chỉnh và mặc định của nó. Theo mặc định, mỗi chính sách có thể có tối đa 100 quy tắc, bao gồm một quy tắc mặc định. Điều này có nghĩa là tối đa hiệu quả là 99 quy tắc do người dùng xác định cho mỗi chính sách, vì quy tắc mặc định được dành riêng và không thể sửa đổi. Do đó, tối đa 198 chính sách có thể được áp dụng cho các nhóm hoặc mạng con vì default-pools-policy và default-subnets-policy được dành riêng và không thể xóa.

Các giới hạn và ràng buộc tường lửa bổ sung cần lưu ý bao gồm:

Chính sách toàn cục mặc định của tường lửa đã sẵn sàng để sử dụng ngay và trừ khi chính sách tùy chỉnh đã được cấu hình rõ ràng, tất cả các nhóm mạng đều sử dụng chính sách toàn cục này. Chính sách tùy chỉnh có thể được cấu hình bằng cách sao chép và sửa đổi chính sách hiện có hoặc tạo chính sách từ đầu. 

Đối với một nhóm mạng nhất định, chính sách toàn cục hoặc chính sách tùy chỉnh được chỉ định và có hiệu lực. Ngoài ra, tất cả các thay đổi cấu hình đối với bất kỳ loại chính sách nào đều được quản lý bởi gconfig và được duy trì trong suốt quá trình khởi động lại cụm.

Trong bài viết tiếp theo của loạt bài này, chúng ta sẽ xem xét cấu hình CLI và WebUI cũng như quản lý tường lửa OneFS.