Docs 菜单
Docs 主页
/
MongoDB Manual
/ /

自管理部署的网络和配置强化

在此页面上

  • MongoDB 配置强化
  • 网络强化

为了降低整个 MongoDB 系统的暴露风险,请确保只有可信主机才可访问 MongoDB。

MongoDB二进制文件 mongodmongos默认绑定到localhost

警告

在将实例绑定到可公开访问的IP解决之前,必须保护集群免遭未经授权的访问权限。 有关安全建议的完整列表,请参阅自托管部署的安全检查清单。 至少应考虑启用身份验证强化网络基础架构。

警告

确保您的 mongodmongos 实例只能在可信网络上访问。如果您的系统具有多个网络接口,请将 MongoDB 程序绑定到专用或内部网络接口。

有关详细信息,请参阅自管理部署中的IP绑定。

防火墙可以让管理员提供对网络通信的精细控制,从而对系统的访问进行过滤和控制。以下功能对于 MongoDB 管理员很重要:限制特定端口到特定系统的传入流量,以及限制来自不可信主机的传入流量。

在 Linux 系统上,iptables 接口提供对底层 netfilter 防火墙的访问。在 Windows 系统上,netsh 命令行界面提供对底层 Windows 防火墙的访问。有关防火墙配置的更多信息,请参阅:

为获得最佳结果并最大限度减少整体暴露风险,请确保只有来自可信来源的流量才能到达 mongodmongos 实例,并且 mongodmongos 实例只能连接到可信输出。

虚拟专用网络 (VPN) 可以让您通过加密且访问受限的可信网络来链接两个网络。由于性能问题,使用 VPN 的 MongoDB 用户通常会使用 TLS/SSL 而不是 IPSEC VPN。

根据配置和实施情况,VPN 会提供证书验证和加密协议选择,这就要求对所有客户端进行严格的身份验证和识别。此外,由于 VPN 提供安全隧道,因此通过使用 VPN 连接来控制对 MongoDB 实例的访问,您可以防止篡改和“中间人”攻击。

IP 转发允许服务器将数据包转发到其他系统。在托管 mongod 的服务器上禁用此功能。

要在 Linux 上禁用 IP 转发,请使用 sysctl 命令:

sudo sysctl -w net.ipv4.ip_forward=0

要使更改持久,请编辑 /etc/sysctl.conf 文件以添加此行:

net.ipv4.ip_forward = 0

默认, Windows上的IP转发处于禁用状态。

后退

审核消息