加强网络基础设施
在本页面
Firewalls
防火墙允许 Management 员通过对网络通信进行精细控制来过滤和控制对系统的访问。对于 MongoDB 的 Management 员来说,以下功能很重要:将特定端口上的传入流量限制为特定系统,以及限制不可信主机的传入流量。
在 Linux 系统上,iptables
接口提供对底层netfilter
防火墙的访问。在 Windows 系统上,netsh
命令行界面提供对基础 Windows 防火墙的访问。有关防火墙配置的其他信息,请参阅:
为了获得最佳结果并最大程度地减少总体风险,请确保来自受信任源的* only *流量可以到达mongod和mongos实例,并且mongod和mongos实例只能连接到受信任的输出。
虚拟专用网
通过虚拟专用网络或 VPN,可以通过加密且访问受限的可信网络链接两个网络。通常,使用 VPN 的 MongoDB 用户使用 TLS/SSL 而非 IPSEC VPN 来解决性能问题。
根据配置和实现,VPN 提供证书验证和加密协议选择,这要求对所有 Client 端进行严格的身份验证和标识。此外,由于 VPN 提供了安全的隧道,因此通过使用 VPN 连接来控制对 MongoDB 实例的访问,您可以防止篡改和“中间人”攻击。