Tin tức
Cấu hình tường lửa OneFS—Phần 1
Tường lửa mới trong OneFS 9.5 tăng cường tính bảo mật của cụm và giúp ngăn chặn truy cập trái phép vào hệ thống lưu trữ. Khi được bật, cấu hình tường lửa mặc định cho phép các hệ thống từ xa truy cập vào một tập hợp cụ thể các dịch vụ mặc định cho dữ liệu, quản lý và giao diện giữa các cụm (nhóm mạng).
Quy trình cung cấp tường lửa OneFS cơ bản như sau:
Lưu ý rằng kiểm soát truy cập dựa trên vai trò (RBAC) giới hạn rõ ràng những người có quyền truy cập để quản lý tường lửa OneFS. Ngoài root phổ biến, vai trò SystemAdmin tích hợp của cụm có quyền ghi để cấu hình và quản lý tường lửa.
1. Nâng cấp cụm lên OneFS 9.5.
Đầu tiên, để cung cấp tường lửa, cụm phải chạy OneFS 9.5.
Nếu bạn đang nâng cấp từ phiên bản cũ hơn, bạn phải cam kết nâng cấp OneFS 9.5 trước khi bật tường lửa.
Ngoài ra, hãy lưu ý rằng việc cấu hình và quản lý tường lửa trong OneFS 9.5 yêu cầu quyền quản trị ISI_PRIV_FIREWALL mới.
# quyền xác thực isi | tường lửa grep -i ISI_PRIV_FIREWALL Cấu hình tường lửa mạng
Quyền này có thể được cấp cho một vai trò có quyền chỉ đọc hoặc quyền đọc/ghi. Theo mặc định, vai trò SystemAdmin tích hợp được cấp quyền ghi để quản lý tường lửa:
# isi auth roles xem SystemAdmin | grep -A2 -i firewall Mã số: ISI_PRIV_FIREWALL Quyền: w
Ngoài ra, vai trò AuditAdmin tích hợp có quyền đọc để xem cấu hình tường lửa và nhật ký, v.v.:
# isi auth roles xem AuditAdmin | grep -A2 -i tường lửa Mã số: ISI_PRIV_FIREWALL Quyền: r
Đảm bảo rằng tài khoản người dùng sẽ được sử dụng để bật và cấu hình tường lửa OneFS phải thuộc về vai trò có quyền ghi ISI_PRIV_FIREWALL.
2. Kích hoạt tường lửa.
Tường lửa OneFS có thể được bật hoặc tắt, trong đó tắt là trạng thái mặc định.
Cú pháp CLI sau đây sẽ hiển thị trạng thái toàn cầu của tường lửa (trong trường hợp này là vô hiệu hóa, mặc định):
# isi thiết lập tường lửa mạng xem Đã bật: Sai
Có thể dễ dàng kích hoạt tường lửa từ CLI như sau:
# isi thiết lập tường lửa mạng sửa đổi --enabled true # isi thiết lập tường lửa mạng xem Đã bật: Đúng
Hoặc từ WebUI trong Quản lý cụm > Cấu hình tường lửa > Cài đặt :
Lưu ý rằng tường lửa sẽ tự động được bật khi áp dụng biện pháp bảo mật STIG cho cụm.
3. Chọn chính sách.
Chính sách tường lửa hiện có của cụm có thể dễ dàng được xem từ CLI bằng lệnh sau:
# danh sách chính sách tường lửa mạng isi Quy tắc nhóm ID Mạng con -------------------------------------------------- -------------------------- fw_test1 groupnet0.subnet0.pool0 groupnet0.subnet1 test_rule1 -------------------------------------------------- -------------------------- Tổng cộng: 1
Hoặc từ WebUI trong Quản lý cụm > Cấu hình tường lửa > Chính sách tường lửa :
Tường lửa OneFS cung cấp bốn chiến lược chính khi lựa chọn chính sách tường lửa:
- Giữ nguyên chính sách mặc định
- Cấu hình lại chính sách mặc định
- Sao chép chính sách mặc định và cấu hình lại
- Tạo chính sách tường lửa tùy chỉnh
Chúng ta sẽ xem xét từng chiến lược này theo thứ tự:
a . Giữ nguyên chính sách mặc định
Trong nhiều trường hợp, giá trị chính sách tường lửa OneFS mặc định cung cấp khả năng bảo vệ chấp nhận được cho một tổ chức có ý thức bảo mật. Trong những trường hợp này, sau khi tường lửa OneFS được bật trên một cụm, không cần cấu hình thêm nữa và người quản trị cụm có thể chuyển sang giai đoạn quản lý và giám sát.
Chính sách tường lửa cho tất cả các giao diện cụm front-end (nhóm mạng) là mặc định. Mặc dù chính sách mặc định có thể được sửa đổi, hãy lưu ý rằng chính sách mặc định này là toàn cục. Do đó, bất kỳ thay đổi nào đối với chính sách này sẽ ảnh hưởng đến tất cả các nhóm mạng sử dụng chính sách mặc định này.
Bảng sau đây mô tả các chính sách tường lửa mặc định được gán cho từng giao diện:
| Chính sách | Sự miêu tả |
| Chính sách nhóm mặc định | Bao gồm các quy tắc cho các cổng mặc định đến cho các dịch vụ TCP và UDP trong OneFS |
| Chính sách mạng con mặc định | Bao gồm các quy tắc cho:
|
Những điều này có thể được xem từ CLI như sau:
# isi network firewall policies view default_pools_policy ID: default_pools_policy Tên: default_pools_policy Mô tả: Chính sách nhóm tường lửa mặc định Hành động mặc định: từ chối Quy tắc tối đa: 100 Nhóm: groupnet0.subnet0.pool0, groupnet0.subnet0.testpool1, groupnet0.subnet0.testpool2, groupnet0.subnet0.testpool3, groupnet0.subnet0.testpool4, groupnet0.subnet0.poolcava Mạng con: - Quy tắc: rule_ldap_tcp, rule_ldap_udp, rule_reserved_for_hw_tcp, rule_reserved_for_hw_udp, rule_isi_SyncIQ, rule_catalog_search_req, rule_lwswift, rule_session_transfer, rule_s3, rule_nfs_tcp, rule_nfs_udp, rule_smb, rule_hdfs_datanode, rule_nfsrdma_tcp, rule_nfsrdma_udp, rule_ftp_data, rule_ftps_data, rule_ftp, rule_ssh, rule_smtp, rule_http, rule_kerberos_tcp, rule_kerberos_udp, rule_rpcbind_tcp, rule_rpcbind_udp, rule_ntp, rule_dcerpc_tcp, rule_dcerpc_udp, rule_netbios_ns, rule_netbios_dgm, rule_netbios_ssn, rule_snmp, rule_snmptrap, rule_mountd_tcp, rule_mountd_udp, rule_statd_tcp, rule_statd_udp, rule_lockd_tcp, rule_lockd_udp, rule_nfsrquotad_tcp, rule_nfsrquotad_udp, rule_nfsmgmtd_tcp, rule_nfsmgmtd_udp, rule_https, rule_ldaps, rule_ftps, rule_hdfs_namenode, rule_isi_webui, rule_webhdfs, rule_ambari_handshake, rule_ambari_heartbeat, rule_isi_esrs_d, rule_ndmp, rule_isi_ph_rpcd, rule_cee, rule_icmp, rule_icmp6, rule_isi_dm_d
# isi network firewall policies view default_subnets_policy ID: default_subnets_policy Tên: default_subnets_policy Mô tả: Chính sách mạng con tường lửa mặc định Hành động mặc định: từ chối Quy tắc tối đa: 100 Hồ bơi: - Mạng con: groupnet0.subnet0 Quy tắc: rule_subnets_dns_tcp, rule_subnets_dns_udp, rule_icmp, rule_icmp6
Hoặc từ WebUI trong Quản lý cụm > Cấu hình tường lửa > Chính sách tường lửa :
b. Cấu hình lại chính sách mặc định
Tùy thuộc vào mức độ đe dọa hoặc yêu cầu bảo mật của tổ chức, có thể cần hạn chế quyền truy cập vào một số địa chỉ IP bổ sung và/hoặc giao thức dịch vụ quản lý.
Nếu chính sách mặc định được coi là không đủ, việc cấu hình lại chính sách tường lửa mặc định có thể là một lựa chọn tốt nếu chỉ cần một số ít thay đổi quy tắc. Chi tiết về việc tạo, sửa đổi và xóa từng quy tắc tường lửa sẽ được đề cập sau trong bài viết này (bước 3).
Lưu ý rằng nếu các thay đổi quy tắc mới hoạt động không như mong đợi hoặc cấu hình tường lửa nói chung trở nên sai lệch, OneFS cung cấp thẻ “thoát khỏi tù miễn phí”. Trong trường hợp cấp bách, chính sách tường lửa toàn cầu có thể được khôi phục nhanh chóng và dễ dàng về giá trị mặc định của nó. Điều này có thể đạt được bằng cú pháp CLI sau:
# isi network firewall reset-global-policy
Lệnh này sẽ đặt lại chính sách tường lửa toàn cầu về mặc định ban đầu của hệ thống. Bạn có chắc chắn muốn tiếp tục không? (có/[không]):
Ngoài ra, chính sách mặc định cũng có thể dễ dàng được khôi phục từ WebUI bằng cách nhấp vào Đặt lại chính sách mặc định :
c. Sao chép chính sách mặc định và cấu hình lại
Một tùy chọn khác là sao chép, có thể hữu ích khi cần sửa đổi hàng loạt hoặc thay đổi số lượng lớn chính sách hiện tại. Bằng cách sao chép chính sách tường lửa mặc định, một bản sao chính xác của chính sách hiện tại và các quy tắc của chính sách đó được tạo ra, nhưng với tên chính sách mới. Ví dụ:
# isi network firewall policies clone default_pools_policy clone_default_pools_policy # danh sách chính sách tường lửa mạng isi | grep -i clone clone_default_pools_policy -
Quá trình sao chép cũng có thể được bắt đầu từ WebUI trong mục Cấu hình tường lửa > Chính sách tường lửa > Thêm hành động > Chính sách sao chép :
Nhập tên cho bản sao vào trường Tên chính sách trong cửa sổ bật lên và nhấp vào Lưu :
Sau khi sao chép, chính sách có thể dễ dàng được cấu hình lại cho phù hợp. Ví dụ, để sửa đổi chính sách fw_test1 và thay đổi hành động mặc định của nó từ deny-all thành allow-all:
# chính sách tường lửa mạng isi sửa đổi fw_test1 --default-action allow-all
Khi sửa đổi chính sách tường lửa, bạn có thể sử dụng tùy chọn –live CLI để buộc chính sách có hiệu lực ngay lập tức. Lưu ý rằng tùy chọn –live chỉ hợp lệ khi phát lệnh sửa đổi hoặc xóa chính sách tùy chỉnh đang hoạt động và sửa đổi chính sách mặc định. Những thay đổi như vậy sẽ có hiệu lực ngay lập tức trên tất cả các mạng con và nhóm mạng liên kết với chính sách này. Sử dụng tùy chọn –live trên chính sách không hoạt động sẽ bị từ chối và trả về thông báo lỗi.
Các tùy chọn để tạo hoặc sửa đổi chính sách tường lửa bao gồm:
| Lựa chọn | Sự miêu tả |
| –hành động mặc định | Tự động thêm một quy tắc để từ chối tất cả hoặc cho phép tất cả vào cuối bộ quy tắc cho chính sách đã tạo này (Chỉ mục = 100). |
| –quy-tắc-tối-đa-số | Theo mặc định, mỗi chính sách khi được tạo có thể có tối đa 100 quy tắc (bao gồm một quy tắc mặc định), do đó người dùng có thể cấu hình tối đa 99 quy tắc. Người dùng có thể mở rộng số lượng quy tắc tối đa thành một giá trị được chỉ định. Hiện tại giá trị này bị giới hạn ở 200 (và người dùng có thể cấu hình tối đa 199 quy tắc). |
| –thêm-mạng con | Chỉ định các mạng con cần thêm vào chính sách, phân tách bằng dấu phẩy. |
| –xóa-mạng-con | Chỉ định các mạng con cần xóa khỏi chính sách và chuyển về chính sách toàn cục. |
| –thêm-nhóm | Chỉ định nhóm mạng cần thêm vào chính sách, phân tách bằng dấu phẩy. |
| –xóa bỏ các nhóm | Chỉ định nhóm mạng để loại bỏ khỏi chính sách và chuyển về chính sách toàn cục. |
Khi bạn sửa đổi chính sách tường lửa, OneFS sẽ đưa ra cảnh báo sau để xác minh những thay đổi và giúp tránh nguy cơ tự từ chối dịch vụ:
# chính sách tường lửa mạng isi sửa đổi --pools groupnet0.subnet0.pool0 fw_test1
Việc thay đổi Chính sách Tường lửa liên quan đến mạng con hoặc nhóm có thể thay đổi các mạng và/hoặc dịch vụ được phép kết nối với OneFS. Vui lòng xác nhận bạn đã chọn Chính sách Tường lửa và Mạng con/Nhóm đúng. Bạn có chắc chắn muốn tiếp tục không? (có/[không]): có
Một lần nữa, việc sử dụng lệnh CLI sau cùng với quyền truy cập bảng điều khiển vào cụm luôn là một động thái thận trọng:
# isi network firewall reset-global-policy
Vì vậy, việc thêm các nhóm mạng hoặc mạng con vào chính sách tường lửa sẽ khiến chính sách trước đó bị xóa khỏi chúng. Tương tự, việc thêm các nhóm mạng hoặc mạng con vào chính sách mặc định toàn cục sẽ khôi phục bất kỳ cấu hình chính sách tùy chỉnh nào mà chúng có thể có. Ví dụ: để áp dụng chính sách tường lửa fw_test1 cho IP Pool groupnet0.subnet0.pool0 và groupnet0.subnet0.pool1:
# isi nhóm mạng xem groupnet0.subnet0.pool0 | grep -i tường lửa Chính sách tường lửa: default_pools_policy # isi chính sách tường lửa mạng sửa đổi fw_test1 --add-pools groupnet0.subnet0.pool0, groupnet0.subnet0.pool1 # isi nhóm mạng xem groupnet0.subnet0.pool0 | grep -i tường lửa Chính sách tường lửa: fw_test1
Hoặc để áp dụng chính sách tường lửa fw_test1 cho IP Pool groupnet0.subnet0.pool0 và groupnet0.subnet0:
# isi chính sách tường lửa mạng sửa đổi fw_test1 --apply-subnet groupnet0.subnet0.pool0, groupnet0.subnet0 # isi nhóm mạng xem groupnet0.subnet0.pool0 | grep -i tường lửa Chính sách tường lửa: fw_test1 # isi mạng con xem groupnet0.subnet0 | grep -i tường lửa Chính sách tường lửa: fw_test1
Để áp dụng lại chính sách toàn cầu bất kỳ lúc nào, hãy thêm nhóm vào chính sách mặc định:
# chính sách tường lửa mạng isi sửa đổi default_pools_policy --add-pools groupnet0.subnet0.pool0, groupnet0.subnet0.pool1 # isi nhóm mạng xem groupnet0.subnet0.pool0 | grep -i tường lửa Chính sách tường lửa: default_subnets_policy # isi mạng con xem groupnet0.subnet1 | grep -i tường lửa Chính sách tường lửa: default_subnets_policy
Hoặc xóa nhóm khỏi chính sách tùy chỉnh:
# chính sách tường lửa mạng isi sửa đổi fw_test1 --remove-pools groupnet0.subnet0.pool0 groupnet0.subnet0.pool1
Bạn cũng có thể quản lý chính sách tường lửa trên một nhóm mạng trong OneFS WebUI bằng cách vào Cấu hình cụm > Cấu hình mạng > Mạng ngoài > Chỉnh sửa chi tiết nhóm . Ví dụ:
Xin lưu ý rằng việc sao chép không chỉ giới hạn ở chính sách mặc định vì có thể tạo bản sao của bất kỳ chính sách tùy chỉnh nào. Ví dụ:
# isi network firewall policies clone clone_default_pools_policy fw_test1
d. Tạo chính sách tường lửa tùy chỉnh
Ngoài ra, một chính sách tường lửa tùy chỉnh cũng có thể được tạo từ đầu. Điều này có thể được thực hiện từ CLI bằng cú pháp sau, trong trường hợp này là để tạo một chính sách tường lửa có tên fw_test1:
# chính sách tường lửa mạng isi tạo fw_test1 --default-action deny # isi chính sách tường lửa mạng xem fw_test1 Mã số: fw_test1 Tên: fw_test1 Sự miêu tả: Hành động mặc định: từ chối Quy tắc tối đa: 100 Hồ bơi: - Mạng con: - Quy tắc: -
Lưu ý rằng nếu hành động mặc định không được chỉ định trong cú pháp lệnh CLI, lệnh sẽ tự động mặc định là từ chối.
Chính sách tường lửa cũng có thể được cấu hình trong OneFS WebUI bằng cách vào Quản lý cụm > Cấu hình tường lửa > Chính sách tường lửa > Tạo chính sách :
Tuy nhiên, trái ngược với CLI, nếu hành động mặc định không được chỉ định khi tạo chính sách trong WebUI, thì mặc định tự động là Cho phép vì danh sách thả xuống hoạt động theo thứ tự bảng chữ cái.
Nếu và khi chính sách tường lửa không còn cần thiết nữa, nó có thể được xóa nhanh chóng và dễ dàng. Ví dụ, cú pháp CLI sau xóa chính sách tường lửa fw_test1, xóa mọi quy tắc trong vùng chứa chính sách này:
# isi chính sách tường lửa mạng xóa fw_test1 Bạn có chắc chắn muốn xóa chính sách tường lửa fw_test1 không? (có/[không]): có
Lưu ý rằng không thể xóa các chính sách toàn cầu mặc định.
# isi network firewall policies xóa default_subnets_policy Bạn có chắc chắn muốn xóa chính sách tường lửa default_subnets_policy không? (có/[không]): có Chính sách tường lửa: Không thể xóa chính sách mặc định default_subnets_policy.
4. Cấu hình quy tắc tường lửa.
Trong bài viết tiếp theo của loạt bài này, chúng ta sẽ tập trung vào bước này, cấu hình các quy tắc tường lửa OneFS.
Bài viết mới cập nhật
Cấu hình tường lửa OneFS—Phần 1
Tường lửa mới trong OneFS 9.5 tăng cường tính bảo mật ...
Tường lửa dựa trên máy chủ OneFS
Trong số các tính năng bảo mật được giới thiệu trong ...
Chạy PowerScale OneFS trên Cloud – Lưu trữ tệp APEX cho AWS
PowerScale OneFS 9.6 hiện mang đến một dịch vụ mới trên ...
Quản lý và khắc phục sự cố tường lửa OneFS
Trong bài viết cuối cùng trong loạt bài này, chúng tôi ...