Comment on page
网络和配置强化
要降低整个 MongoDB 系统的风险暴露,请确保只有可信主机才能访问 MongoDB。
从MongoDB 3.6开始,MongoDB 二进制文件, mongod 和 mongos 默认绑定本地主机(localhost)。从MongoDB 版本 2.6 到 3.4,只有官方 MongoDB RPM安装包(Red Hat,CentOS,Fedora Linux 和衍生产品)和 DEB安装包(Debian,Ubuntu 及衍生产品)中的二进制文件默认绑定到本地主机(localhost)。要了解有关此更改的更多信息,请参阅 本地主机绑定兼容性更改。
警告:
重要提示:
3.6版本的变化: MongoDB 3.6 移除了 MongoDB数据库的HTTP Interface 和REST API。
防火墙允许管理员通过提供网络通信的细粒度控制来过滤和控制对系统的访问。对于 MongoDB 的管理员,以下功能非常重要:将特定端口上的传入流量限制到特定系统,并限制来自不受信任主机的传入流量。
在 Linux 系统上,iptables 接口提供对底层 netfilter 防火墙的访问。在 Windows 系统上**,netsh** 命令 line 接口提供对底层 Windows 防火墙的访问。有关防火墙配置的其他信息,请参阅:
虚拟专用网络或VPN使得通过加密和有限访问的可信网络连接两个网络成为可能。通常,使用 VPN 的 MongoDB 用户使用 TLS/SSL 而不是 IPSEC VPN 来解决性能问题。
根据配置和实现,VPN 提供证书验证和加密协议选择,这需要对所有客户端进行严格的身份验证和识别。此外,由于 VPN 提供了一个安全通道,通过使用 VPN 连接来控制对 MongoDB 实例的访问,您可以防止篡改和“中间人”攻击。
iptables
为MongoDB 配置Linux 防火墙:https://docs.mongodb.com/manual/tutorial/configure-linux-iptables-firewall/netsh
为MongoDB 配置Windows 防火墙:https://docs.mongodb.com/manual/tutorial/configure-windows-netsh-firewall/