网络和配置强化

在此页面上

为了降低整个 MongoDB 系统的暴露风险，请确保只有可信主机才可访问 MongoDB。

MongoDB 配置强化

MongoDB 二进制文件 mongod 和 mongos 默认绑定到 localhost。

在将实例绑定到可公开访问的 IP 地址之前，必须保护集群免遭未经授权的访问。有关安全建议的完整列表，请参阅安全检查清单。至少应考虑启用身份验证和强化网络基础架构。

确保您的 mongod 和 mongos 实例只能在可信网络上访问。如果您的系统具有多个网络接口，请将 MongoDB 程序绑定到专用或内部网络接口。

有关详细信息，请参阅 IP 绑定。

在版本 3.6 中进行了更改：MongoDB 3.6 删除了已弃用的 HTTP 接口和 MongoDB 的 REST API。

防火墙可以让管理员提供对网络通信的精细控制，从而对系统的访问进行过滤和控制。以下功能对于 MongoDB 管理员很重要：限制特定端口到特定系统的传入流量，以及限制来自不可信主机的传入流量。

在 Linux 系统上，iptables 接口提供对底层 netfilter 防火墙的访问。在 Windows 系统上，netsh 命令行界面提供对底层 Windows 防火墙的访问。有关防火墙配置的更多信息，请参阅：

为获得最佳结果并最大限度减少整体暴露风险，请确保只有来自可信来源的流量才能到达 mongod 和 mongos 实例，并且 mongod 和 mongos 实例只能连接到可信输出。

虚拟专用网络 (VPN) 可以让您通过加密且访问受限的可信网络来链接两个网络。由于性能问题，使用 VPN 的 MongoDB 用户通常会使用 TLS/SSL 而不是 IPSEC VPN。

根据配置和实施情况，VPN 会提供证书验证和加密协议选择，这就要求对所有客户端进行严格的身份验证和识别。此外，由于 VPN 提供安全隧道，因此通过使用 VPN 连接来控制对 MongoDB 实例的访问，您可以防止篡改和“中间人”攻击。

IP 转发允许服务器将数据包转发到其他系统。在托管 mongod 的服务器上禁用此功能。