端口策略

功能简介

端口策略是一种网络安全措施，它通过设定一系列的端口访问规则来管理和控制对主机的访问权限。用户可以在端口策略中根据业务需求配置各种端口，并将端口策略与主机进行关联。主机关联端口策略后，关联主机上将开放端口策略中相应的端口，而未在端口策略中配置的端口将被限制访问。端口策略具有以下优点：

安全性：用户可以根据具体的业务需求，自定义端口访问规则，允许特定的流量进入网络系统，有助于防止未授权访问和网络攻击。
灵活性：端口策略可以关联到特定的主机，用户可以为不同的主机设置不同的访问规则，提升网络管理的灵活性和精确性。

主机防火墙可与端口策略配合使用。不同状态的主机防火墙和端口策略组合可达到对端口访问权限的不同控制，具体如下表所示。

主机防火墙状态	端口策略状态	端口访问权限
生效	开启	管理平台内部主机间所有端口可互通主机防火墙中的端口：只允许配置在“允许的IP地址”内的外部IP访问。主机上其他端口：若在端口策略中，则外部IP可访问，否则外部IP不可访问。
生效	关闭	管理平台内部主机间的所有端口可互通主机防火墙中的端口：只允许配置在“允许的IP地址”内的外部IP访问。主机上其他端口：外部IP均可访问。
不生效	开启	对于端口策略关联的主机，所有IP都只可访问端口策略列表里的端口
不生效	关闭	主机上所有端口均放开

使用流程

开启端口加固：系统默认开启端口加固功能，即系统初始化完成后管理平台内部主机将按照默认的端口策略进行访问控制。
新建端口策略：除系统默认端口策略外，管理员可自定义端口策略。策略中可以包括一个或多个端口，可以是具体的单个端口，也可以是一个端口范围。策略中的端口可以被外部访问。
关联主机：端口策略配置完成后，将其关联到管理平台内部主机上，即将端口访问规则应用到主机。
策略执行：端口策略关联到主机后，若主机防火墙不生效，则主机的端口将按照端口策略进行控制。只有策略中定义的端口才能接受外部的访问请求，未被包含在策略中的其他端口将被阻止，不允许数据传入，但数据传出不受限制。

注意事项

端口策略仅对IPv4地址生效。
系统初始化完成后将自动生成默认的端口策略，且默认端口策略仅支持编辑操作，不可删除、增加关联主机或移除关联主机。
- 业务节点默认策略：默认关联管理平台中的所有主机，主要用于常规业务的端口管理。
- 管理节点默认策略：默认仅关联管理平台中管理节点的主机，主要用于管理业务的端口管理。
- 存储节点默认策略：仅超融合部署场景支持，默认关联管理平台中的所有主机，主要用于存储业务的端口管理。
若某组件漏洞对应端口，在端口策略里不允许删除，且不在主机防火墙内置端口列表里，只能解决漏洞，不支持在主机防火墙中增加自定义端口。
搭建双机热备时，系统自动关闭端口加固功能。双机热备搭建完成后，可手动开启端口加固或通过双机热备配置检测功能自动开启端口加固。
双机热备场景下，若备管理节点故障后使用其它主机进行了故障恢复：
- 对于默认端口策略，系统将自动将其与替换后的备管理节点进行关联。
- 对于自定义端口策略，请重新配置。
修改主机IP前，请先关闭端口加固功能，待修改成功后重新开启。

开启/关闭端口加固

对于全新安装的E2005或以后版本，端口加固功能默认为开启状态；对于从低版本升级到E2005或以后版本，端口加固功能默认为关闭状态。

开启端口加固时，物理主机上仅加入了端口策略的端口可用；关闭端口加固时，物理主机所有的端口均可用。

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
单击页面右上方“端口加固”参数旁的按钮，弹出操作确认对话框。
根据提示输入“CONFIRM”（不区分大小写）后，单击<确定>按钮，可开启或关闭端口策略。

新建端口策略

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
单击<新建>按钮，弹出增加端口策略对话框。
配置名称、描述和端口号后，单击<确定>按钮完成操作。

关联主机

关联主机功能可将配置的端口策略下发给目标主机，以便开放目标主机的指定端口。系统初始化部署完成后，新加的主机将自动关联系统默认的端口策略。

关联主机前，请先确定主机防火墙已生效。
关联主机时，若主机状态异常，则端口策略将下发失败，需待主机状态恢复后，通过同步功能下发端口策略。

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
单击指定端口策略操作列的<关联主机>按钮，弹出关联主机对话框。
勾选关联的目标主机，单击<确定>按钮，完成操作。

编辑端口策略

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
单击指定端口策略操作列的<编辑>按钮，弹出修改端口策略对话框。
根据实际情况执行以下操作：
- 修改自定义端口策略：修改描述和端口后，单击<确定>按钮完成操作。
- 修改默认端口策略的描述信息：修改描述信息后，单击<确定>按钮完成操作。
- 修改默认端口策略的端口信息：修改端口后，在弹出的对话框中勾选“已充分了解本操作造成的结果”，并输入当前管理员密码后，单击<确定>按钮完成操作。

删除端口策略

业务节点默认策略和管理节点默认策略不支持删除。

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
可通过以下方式删除端口策略：
- 删除指定自定义端口策略：单击指定端口策略操作列的<删除>按钮，弹出操作确认对话框，单击<确定>按钮完成操作。
- 批量删除自定义端口策略：在列表中选择一条或多条端口策略，单击上方<删除>按钮，弹出操作确认对话框，单击<确定>按钮完成操作。

增加关联主机

增加关联主机功能可将配置的端口策略下发给目标主机，以便开放目标主机的指定端口。增加关联主机时，用户可以选择自定义、所有主机，所有管理节点或所有业务节点方式关联目标主机。

系统默认的业务节点策略和管理节点策略不支持增加关联主机。

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
在端口策略列表中选择自定义的端口策略，在关联主机列表上方，单击<增加>按钮，弹出关联主机对话框。
选择需要关联的主机，并单击<确定>按钮完成操作。

移除关联主机

移除关联主机功能可将端口策略与主机解除关联。业务节点默认策略和管理节点默认策略不支持移除关联主机。

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
单击端口策略列表中端口策略，在下方的关联主机列表中展示当前端口策略关联的主机。
可通过以下方式移除关联的主机：
- 移除指定主机：单击指定主机操作列的<移除>按钮，弹出操作确认对话框，单击<确定>按钮完成操作。
- 批量移除主机：在列表中选择一条或多条已关联的主机，单击上方<移除>按钮，弹出操作确认对话框，单击<确定>按钮完成操作。

同步关联主机

端口策略修改后，可通过同步功能将新的端口策略关联到目标主机上。同步前，请确保主机处于正常状态。

单击左侧导航树[策略/安全策略/端口策略]菜单项，进入端口策略列表页面。
单击端口策略列表中自定义的端口策略，并在下方关联主机列表中，勾选目标主机后，单击上方的<同步>按钮。