在本页面
为了降低整个MongoDB系统的风险,请确保只有受信任的主机才能访问MongoDB。
从MongoDB 3.6,MongoDB二进制文件mongod和开始
mongos,localhost默认情况下绑定到。从MongoDB 2.6到3.4版本localhost,默认情况下仅绑定来自正式MongoDB RPM(Red Hat,CentOS,Fedora Linux和衍生产品)和DEB(Debian,Ubuntu和衍生产品)的二进制文件
。要了解有关此更改的更多信息,请参阅
Localhost绑定兼容性更改。
有关更多信息,请参见IP绑定。
在版本3.6中进行了更改: MongoDB 3.6删除了MongoDB弃用的HTTP接口和REST API。
防火墙允许管理员通过对网络通信进行精细控制来过滤和控制对系统的访问。对于MongoDB的管理员来说,以下功能很重要:将特定端口上的传入流量限制为特定系统,以及限制不可信主机的传入流量。
在Linux系统上,该iptables接口提供对底层netfilter防火墙的访问。在Windows系统上,netsh
命令行界面提供对基础Windows防火墙的访问。有关防火墙配置的其他信息,请参阅:
为了获得最佳结果并最大程度地减少总体风险,请确保只有
来自受信任源的流量才能到达mongod和
mongos实例,并且确保mongod和
mongos实例只能连接到受信任的输出。
通过虚拟专用网络或VPN,可以通过加密且访问受限的可信网络链接两个网络。通常,使用VPN的MongoDB用户使用TLS / SSL而不是IPSEC VPN来解决性能问题。
根据配置和实现,VPN提供证书验证和加密协议选择,这要求对所有客户端进行严格的身份验证和标识。此外,由于VPN提供了安全的隧道,因此通过使用VPN连接来控制对MongoDB实例的访问,您可以防止篡改和“中间人”攻击。