IP 白名单

为什么需要 IP 白名单？

IP 白名单是网络安全防护的重要机制，它通过限制只有特定 IP 地址或 IP 段才能访问数据库资源，提供了一层额外的安全保护。使用 IP 白名单的好处包括：

• 访问控制：精确控制哪些 IP 地址可以访问数据库
• 安全防护：防止未授权的访问尝试和恶意攻击
• 合规要求：满足企业安全政策和行业合规要求
• 风险降低：减少数据库暴露在公共网络中的风险

在不得不使用公网的场景下，ProtonBase 支持了 IP 白名单功能，用户可以限定允许访问 Warebase 的机器的名单，这样可以有效防止恶意攻击。

ProtonBase 将只允许指定IP白名单中的主机访问数据库，提高了数据库的安全性。请注意，修改白名单需要管理员权限，且重新加载配置会影响数据库服务，请谨慎操作。

IP 白名单工作原理

IP 白名单通过在网络层面过滤访问请求，只允许来自预定义 IP 地址或 IP 段的连接请求通过。当客户端尝试连接数据库时，系统会检查客户端的 IP 地址是否在白名单中，如果不在白名单中，连接请求将被拒绝。

配置要求与限制

• 基于安全考虑，Warebase 公网连接默认白名单为空，不允许任何连接，开启公网访问后，请立即设置 IP 白名单，否则网络无法连接。

• 可以创建多条 IP 白名单 规则，一条规则可以应用到多个 Warebase 上，多条规则也可以应用到一个 Warebase上，只能应用到开启了公网连接的Warebase。

• 输入有效的IPv4地址和可选的CIDR，或多个地址，以"，"分隔。

• 删除DataCloud，会同时删除DataCloud内的白名单规则。如果有关联的Warebase，则不能删除规则。

最佳实践

IP 白名单配置建议

1. 最小化原则：只添加必要的 IP 地址或 IP 段到白名单中
2. 定期审查：定期审查和更新白名单，移除不再需要的 IP 地址
3. 分段管理：对于大型组织，可以按部门或项目划分不同的 IP 段
4. 备份配置：在修改白名单前，备份当前配置以便需要时恢复

安全建议

1. 避免使用过大的 IP 段：尽量使用具体的 IP 地址或较小的 IP 段
2. 监控访问日志：定期检查访问日志，识别异常访问模式
3. 多层防护：结合其他安全措施，如强密码、多因素认证等
4. 紧急响应：建立紧急响应机制，在发现安全威胁时能快速更新白名单

故障排除

常见问题及解决方案

1. 无法连接数据库：

   • 检查客户端 IP 是否在白名单中
   • 验证 IP 地址格式是否正确
   • 确认白名单规则是否已正确应用

2. 白名单规则不生效：

   • 确认规则已保存并应用
   • 检查是否有冲突的规则
   • 验证 Warebase 是否已正确配置公网访问

3. 误删重要 IP 地址：

   • 立即添加被误删的 IP 地址
   • 检查是否有其他管理员进行了修改
   • 建立变更审批流程，避免误操作

紧急情况处理

如果发现安全威胁或需要紧急阻止某些 IP 地址的访问：

1. 立即登录管理控制台
2. 进入 Warebase 网络配置页面
3. 从白名单中移除可疑的 IP 地址
4. 监控系统日志确认威胁已解除
5. 记录事件详情用于后续分析