创建防火墙策略并分配给 LIF
在创建 LIF 时,默认防火墙策略将分配给每个 LIF。多数情况下,默认防火墙设置可以正常工作,您无需对其进行更改。如果要更改可以访问 LIF 的网络服务或 IP 地址,可以创建自定义防火墙策略并将它分配到 LIF。
关于本任务
无法使用 policy 名称 data、intercluster、cluster 或 mgmt 创建防火墙策略。
这些值为系统定义的防火墙策略保留。
无法设置或修改集群 LIF 的防火墙策略。
集群 LIF 的防火墙策略对所有服务类型都设置为 0.0.0.0/0。
如果需要修改或删除服务,必须删除现有防火墙策略并创建新策略。
如果在集群上启用了 IPv6,您可以使用 IPv6 地址创建防火墙策略。
启用 IPv6 后, data 和 mgmt 防火墙策略将在其接受地址列表中使用 IPv6 通配符 ::/0。
在使用 ThinkSystem DM 系列存储管理软件 跨集群配置数据保护功能时,必须确保集群间 LIF IP 地址包含在允许列表中,并且集群间 LIF 和您公司所有的防火墙均允许 HTTPS 服务。
默认情况下,intercluster 防火墙策略允许从所有 IP 地址 (0.0.0.0/0) 进行访问并支持 HTTPS、NDMP 和 NDMPS 服务。如果您修改此默认策略,或为集群间 LIF 创建您自己的防火墙策略,则必须将每个集群间 LIF IP 地址添加到允许列表并启用 HTTPS 服务。
从 ONTAP 9.6 开始,不支持 HTTPS 和 SSH 防火墙服务。
在 ONTAP 9.6 中,management-https 和 management-ssh LIF 服务可用于 HTTPS 和 SSH 管理访问。
创建防火墙策略并将它应用于 LIF 的示例
以下命令创建名为 data_http 的防火墙策略,其支持从 10.10 子网上的 IP 地址进行 HTTP 和 HTTPS 协议访问,并将该策略应用于 SVM vs1 上名为 data1 的 LIF,然后在集群上显示所有防火墙策略:
cluster-1::> system services firewall policy create -vserver vs1 -policy data_http -service http -allow-list 10.10.0.0/16
cluster-1::> system services firewall policy create -vserver vs1 -policy data_http -service https -allow-list 10.10.0.0/16
cluster-1::> system services firewall policy show
Vserver Policy Service Allowed
------- ------------ ---------- -------------------
cluster-1
data
dns 0.0.0.0/0
ndmp 0.0.0.0/0
ndmps 0.0.0.0/0
cluster-1
intercluster
https 0.0.0.0/0
ndmp 0.0.0.0/0
ndmps 0.0.0.0/0
cluster-1
mgmt
dns 0.0.0.0/0
http 0.0.0.0/0
https 0.0.0.0/0
ndmp 0.0.0.0/0
ndmps 0.0.0.0/0
ntp 0.0.0.0/0
snmp 0.0.0.0/0
ssh 0.0.0.0/0
<strong className="ph b">vs1
data_http
http 10.10.0.0/16
https 10.10.0.0/16</strong>
cluster-1::> network interface modify -vserver vs1 -lif data1 -firewall-policy data_http
cluster-1::> network interface show -fields firewall-policy
vserver lif firewall-policy
------- -------------------- ---------------
Cluster node1_clus_1
Cluster node1_clus_2
Cluster node2_clus_1
Cluster node2_clus_2
cluster-1 cluster_mgmt mgmt
cluster-1 node1_mgmt1 mgmt
cluster-1 node2_mgmt1 mgmt
vs1 data1 data_http
vs3 data2 data