carsi idpIdP运行在vmware exsi虚拟机上。为了保证idp服务安全、稳定地运行,建议从虚拟机管理、虚拟机访问安全防护、外部防护墙、校园网出口、应用防护五个层次进行防护。。为了保证IdP服务安全、稳定地运行,建议从虚拟机管理、虚拟机访问安全防护、外部防护墙、校园网出口、应用防护五个层次进行防护。
虚拟机管理
- 只允许管理员登录虚拟机管理中心(例如exsi的vcenter)进行管理,严格限制管理员IP地址,防止管理员弱密码。
...
ova快速安装的方式ova镜像配置里面防火墙默认开启了80/443端口,可根据需要调整。
- idp需要对外提供服务,使用的端口是443,协议是https,建议配置操作系统防火墙,对外只开放443端口。IdP需要对外提供服务,使用的端口是443,协议是https,建议配置操作系统防火墙,对外只开放443端口。
例如:对于CentOS8防火墙配置如下
| Code Block | ||
|---|---|---|
| ||
#查看防火墙状态 [carsi@www ~]$ sudo systemctl status firewalld active(running)表示防火墙运行,inactive(dead)表示防火墙关闭 #启动防火墙 [carsi@www ~]$ sudo systemctl start firewalld #关闭防火墙 [carsi@www ~]$ sudo systemctl stop firewalld #防火墙上开启443端口 [carsi@www ~]$ sudo firewall-cmd --add-service=https --permanent #添加策略后需要刷新防火墙 [carsi@www ~]$ sudo firewall-cmd --reload #如果要在防火墙上删除某个端口 [carsi@www ~]$ sudo firewall-cmd --remove-service=http --permanent #添加策略后需要刷新防火墙 [carsi@www ~]$ sudo firewall-cmd --reload #查看当前防火墙策略 [carsi@www ~]$ sudo firewall-cmd --list-all |
...