自托管部署的网络和配置强化

本页内容

为了降低整个 MongoDB 系统的风险暴露，确保只有受信任的主机可以访问 MongoDB。

强化MongoDB配置

MongoDB二进制文件，mongod 和 mongos，默认绑定到 localhost。

在将实例绑定到公开可访问的IP地址之前，您必须保护集群免受未经授权的访问。有关安全建议的完整列表，请参阅自托管部署安全清单。至少，请考虑启用身份验证和强化网络基础设施.

确保您的 mongod 和 mongos 实例仅对受信任的网络可访问。如果您的系统有多个网络接口，请将MongoDB程序绑定到私有或内部网络接口。

有关更多信息，请参阅自托管部署中的IP绑定。

防火墙允许管理员通过提供对网络通信的细粒度控制来过滤和控制对系统的访问。对于MongoDB管理员，以下功能很重要：限制特定端口上对特定系统的入站流量，以及限制来自不受信任主机的入站流量。

在Linux系统上，iptables接口提供了对底层netfilter防火墙的访问。在Windows系统上，netsh命令行接口提供了对底层Windows防火墙的访问。有关防火墙配置的更多信息，请参阅

为了获得最佳结果并最大限度地减少总体暴露，请确保只有来自受信任源的流量可以到达mongod和mongos实例，并且mongod和mongos实例只能连接到受信任的输出。

虚拟专用网络（VPN）可以在加密和有限访问的受信任网络上连接两个网络。通常，使用VPN的MongoDB用户更倾向于使用TLS/SSL而不是IPSEC VPN，因为TLS/SSL在性能上更为优越。

根据配置和实现方式，VPN提供证书验证和加密协议的选择，这需要所有客户端进行严格的身份验证和识别。此外，由于VPN提供了一个安全的隧道，通过使用VPN连接来控制对MongoDB实例的访问，可以防止篡改和“中间人”攻击。

IP转发允许服务器将数据包转发到其他系统。对于运行mongod的服务器，请禁用此功能。

要在Linux上禁用IP转发，请使用sysctl命令

sudo sysctl -w net.ipv4.ip_forward=0

要使更改持久，编辑/etc/sysctl.conf文件并添加以下行

net.ipv4.ip_forward = 0

Windows默认禁用IP转发。

OSCF Schema

下一步

IP 绑定