加强网络基础设施

在本页面

• Firewalls

• 虚拟专用网

Firewalls

防火墙允许 Management 员通过对网络通信进行精细控制来过滤和控制对系统的访问。对于 MongoDB 的 Management 员来说，以下功能很重要：将特定端口上的传入流量限制为特定系统，以及限制不可信主机的传入流量。

在 Linux 系统上，iptables接口提供对底层netfilter防火墙的访问。在 Windows 系统上，netsh命令行界面提供对基础 Windows 防火墙的访问。有关防火墙配置的其他信息，请参阅：

• 为 MongoDB 配置 Linux iptables 防火墙 and

• 为 MongoDB 配置 Windows netsh 防火墙.

为了获得最佳结果并最大程度地减少总体风险，请确保来自受信任源的* only *流量可以到达mongod和mongos实例，并且mongod和mongos实例只能连接到受信任的输出。

虚拟专用网

通过虚拟专用网络或 VPN，可以通过加密且访问受限的可信网络链接两个网络。通常，使用 VPN 的 MongoDB 用户使用 TLS/SSL 而非 IPSEC VPN 来解决性能问题。

根据配置和实现，VPN 提供证书验证和加密协议选择，这要求对所有 Client 端进行严格的身份验证和标识。此外，由于 VPN 提供了安全的隧道，因此通过使用 VPN 连接来控制对 MongoDB 实例的访问，您可以防止篡改和“中间人”攻击。

• 为 MongoDB 配置 Linux iptables 防火墙

• 为 MongoDB 配置 Windows netsh 防火墙