主机防火墙是一种网络安全工具,可显示当前主机正在使用的服务及其端口号,并可以设置允许哪些IP访问这些端口号的功能。通过主机防火墙,可以帮助用户更好地保护主机的安全,有效地控制网络访问,并防止未经授权的访问和攻击。在“双机热备管理”处可以对主备管理节点的主机防火墙进行统一配置。
主机防火墙的主要功能包括:
显示正在使用的服务及端口号:主机防火墙可以展示当前主机上正在运行的服务及其对应的端口号,以及允许访问这些服务的IP。
修改允许访问的IP地址:用户可以通过主机防火墙配置允许哪些IP地址访问特定的端口号,从而限制网络访问的范围。例如可以设置允许192.168.1.100/16访问主机上的SSH服务,对应的端口号为22。
并且对于每个端口号,主机防火墙都可以进行单独设置,用户可以为每个端口号配置不同的允许IP地址。例如,可以设置允许192.168.1.200/16和192.168.1.201/16访问主机上的虚拟化Web服务,对应的端口号为80;允许172.16.1.100/16访问主机上的HTTPS服务,对应的端口号为8443。
如果某IP地址可以访问https模式登录的管理平台,则即使此IP地址不在“VNC Web服务”的白名单中,仍然可以访问到该服务。
混合管理的E073x和E076x版本的主机无法使用主机防火墙功能。
主机防火墙仅对进入主机的流量进行识别、限制。
删除主机后,不会保留该主机中的防火墙配置。并且,在主机的xConsole控制台更改IP地址后必须重启主机,以刷新主机中的防火墙配置,否则会导致原先配置的IP地址存在于所有端口的白名单中。
如果搭建了双机热备,需要保证仲裁节点的22端口与其它节点连通。并且,在“双机热备管理”处配置主机防火墙时,仅对主备管理节点生效,不会对仲裁节点生效。
搭建了双机热备后,在进行了单机故障恢复后,需要在“双机热备管理”处的防火墙配置对话框中单击<同步>,同步防火墙配置。
开启主机防火墙后,白名单设置不当可能会对某些功能产生影响,具体请参考下表。
|
功能 |
说明 |
操作建议 |
|
双机热备 |
配置时需要仲裁与主备节点通,在搭建双机时,如主备节点上设置了关于SSH服务的防火墙,则需要放开限制,并必须保持仲裁节点与主备之间的SSH server相通。 |
关闭主机防火墙后再搭建双机热备。 |
|
大云/第三方对接 |
如果需要使用CloudOS等大云产品,或需要对接爱数备份,金融数安,奇安信,亚信等第三方软件,则需要允许相关的IP地址访问例如http服务等相关的端口。 |
所有端口均需要放开对大云/第三方相关IP地址的限制。 |
|
增加外部云 |
在增加CAS或Usphere作为外部云站点时,需要通过8080或8443端口。 |
放开8080和8443端口。 |
|
裸金属管理 |
从管理主机拷贝文件到裸金属服务器时需要使用SCP服务。 |
放开22端口。 |
|
站点容灾 |
站点容灾需要使用保护站点和恢复站点的8080、8443端口。 |
放开8080和8443端口。 |
|
防病毒 |
同“大云/第三方对接”。 |
同“大云/第三方对接”。 |
|
云彩虹 |
云彩虹纳管站点和迁移虚拟机需要使用8080、8443、22端口。 |
放开8080、8443、22端口。 |
|
CVM迁移 |
CVM迁移需要使用8080、8443、22端口。 |
放开8080、8443、22端口。 |
|
日志转存 |
需要使用目的端的22端口。 |
放开22端口。 |
|
备份管理-备份到远端服务器 |
需要使用目的端的22端口。 |
放开22端口。 |
选中顶端的“系统”页签,单击左侧导航树中的[双机热备配置]菜单项,进入热备主机列表页面。
单击<防火墙配置>按钮,打开主机的防火墙配置对话框,可以查看现有的主机防火墙策略。
选中顶端的“系统”页签,单击左侧导航树中的[双机热备配置]菜单项,进入热备主机列表页面。
单击<防火墙配置>按钮,打开主机的防火墙配置对话框。
选择需要配置防火墙策略的端口,单击<修改>按钮,弹出相应服务配置IP地址的对话框。
勾选“允许从任何IP地址链接”选项,表示放行所有IP地址;去勾选“允许从任何IP地址链接”选项后,可以在下方输入需要访问此服务的IP地址,可输入多个IP地址,输入以英文逗号分隔的IP地址,如:1.1.1.1,12.3.0.0/16,1:1:1:1:1:1:1:1/64。
选中顶端的“系统”页签,单击左侧导航树中的[双机热备配置]菜单项,进入热备主机列表页面。
单击<防火墙配置>按钮,打开主机的防火墙配置对话框。