限制远程网络访问
您可以采用多种方法限制存储服务器上的远程网络访问。您可以通过实施自上而下的过滤规则集(按用户帐户和起源定义访问权限)来限制对存储服务器的入站网络访问。您还可以定义定制规则集,按照美国国防部和 PCI-DSS 要求允许或拒绝访问。
 | 注意 - 实施非默认策略时务必小心,以确保对系统的访问不会中断。添加各个新规则时,更改立即生效。 |
要实施规则集,请执行以下过程。
-
以 celladmin 身份登录到存储服务器。
请参见登录到存储服务器 OS。
-
检查有效的规则集。
# /opt/oracle.cellos/host_access_control access --status
-
将当前的规则集导出到一个文件中,并将其另存为备份副本。
以下命令可将规则集导出到一个 ASCII 文本文件中:
# /opt/oracle.cellos/host_access_control access-export --file filename
-
根据您希望用来创建规则集的方法,通过执行下面的一个或多个命令来配置规则集:
-
要实施一个消除入站网络限制的开放式规则集,请键入:
# /opt/oracle.cellos/host_access_control access --open
-
要实施一个仅允许使用 SSH 进行入站访问的闭合式规则集,请键入:
# /opt/oracle.cellos/host_access_control access --close
-
要修改现有规则集,请键入:
将当前的规则集导出到一个 ASCII 文本文件中:
# /opt/oracle.cellos/host_access_control access-export --file filename
使用编辑器编辑该文本文件以配置规则集。
从该文本文件导入规则集,从而覆盖当前的规则集:
# /opt/oracle.cellos/host_access_control access-import --file filename
-
单独添加特定规则:
这种方法包括根据以下参数允许和拒绝访问:
-
用户名-有效值包括关键字 all 或者一个或多个有效的本地帐户用户名。
-
起源-有效值包括关键字 all 或者描述系统访问来源的各个条目,来源包括控制台、虚拟控制台、Oracle ILOM、IP 地址、网络地址、主机名或 DNS 域。
在本示例中,当从 trustedhost.example.org 主机或 .trusted.domain.com 域中的任何主机发起连接时,将对存储服务器的访问权限授予 celladmin 用户。
# /opt/oracle.cellos/host_access_control access --add --user celladmin \ --origins trustedhost.example.org,.trusted.domain.com
-
-
要实施一个消除入站网络限制的开放式规则集,请键入: