自管理部署的网络和配置强化
在此页面上
为了降低整个 MongoDB 系统的暴露风险,请确保只有可信主机才可访问 MongoDB。
MongoDB 配置强化
IP 绑定
MongoDB二进制文件 mongod和mongos默认绑定到localhost 。
警告
在将实例绑定到可公开访问的IP解决之前,必须保护集群免遭未经授权的访问权限。 有关安全建议的完整列表,请参阅自托管部署的安全检查清单。 至少应考虑启用身份验证和强化网络基础架构。
有关详细信息,请参阅自管理部署中的IP绑定。
网络强化
防火墙
防火墙可以让管理员提供对网络通信的精细控制,从而对系统的访问进行过滤和控制。以下功能对于 MongoDB 管理员很重要:限制特定端口到特定系统的传入流量,以及限制来自不可信主机的传入流量。
在 Linux 系统上,iptables 接口提供对底层 netfilter 防火墙的访问。在 Windows 系统上,netsh 命令行界面提供对底层 Windows 防火墙的访问。有关防火墙配置的更多信息,请参阅:
为获得最佳结果并最大限度减少整体暴露风险,请确保只有来自可信来源的流量才能到达 mongod 和 mongos 实例,并且 mongod 和 mongos 实例只能连接到可信输出。
虚拟专用网络
虚拟专用网络 (VPN) 可以让您通过加密且访问受限的可信网络来链接两个网络。由于性能问题,使用 VPN 的 MongoDB 用户通常会使用 TLS/SSL 而不是 IPSEC VPN。
根据配置和实施情况,VPN 会提供证书验证和加密协议选择,这就要求对所有客户端进行严格的身份验证和识别。此外,由于 VPN 提供安全隧道,因此通过使用 VPN 连接来控制对 MongoDB 实例的访问,您可以防止篡改和“中间人”攻击。
禁用 IP 转发
IP 转发允许服务器将数据包转发到其他系统。在托管 mongod 的服务器上禁用此功能。
要在 Linux 上禁用 IP 转发,请使用 sysctl 命令:
sudo sysctl -w net.ipv4.ip_forward=0
要使更改持久,请编辑 /etc/sysctl.conf 文件以添加此行:
net.ipv4.ip_forward = 0
默认, Windows上的IP转发处于禁用状态。