一、基础认知:HA 集群需保护的 3 类核心网络与关键端口

配置防火墙前,需先明确 HA 集群的网络架构与通信需求 —— 不同网络承担的功能不同,对应需开放的端口也不同,这是规则配置的核心依据:

1. HA 集群的 3 类核心网络(表 1)

HA 集群的正常运行依赖 “心跳网络”“业务网络”“仲裁网络” 三类通信,防火墙需为每类网络配置专属规则:
网络类型
核心功能
涉及节点
通信特点
安全优先级
心跳网络
传输 Active 与 Passive 服务器的状态信息(如 “是否在线”“故障信号”),确保节点间状态同步
Active 服务器 ↔ Passive 服务器
高频、低延迟、内部专用(建议物理隔离,如独立网线)
最高(仅允许集群节点间通信,禁止外部访问)
业务网络
传输用户业务数据(如共享文件夹访问、iSCSI LUN 读写、套件服务请求)
Active 服务器 ↔ 客户端(如电脑、虚拟机)
低频、按需访问、对外公开(需限制客户端 IP)
中(仅允许授权客户端访问)
仲裁网络
传输 Active/Passive 服务器与外部仲裁服务器的投票信息,避免 “脑裂”
Active/Passive 服务器 ↔ 外部仲裁服务器
低频、关键场景触发(如通信中断时)、内部专用
高(仅允许集群节点与仲裁服务器通信)

2. HA 集群必须开放的关键端口(表 2)

不同网络对应的端口是防火墙规则的 “核心配置项”,遗漏或误拦截会直接导致集群功能失效,官方指定端口如下:
端口号
协议
所属网络
核心用途
通信方向
必须开放场景
5000
TCP
业务网络 / 同步网络
DSM HTTP 管理端口,用于集群配置同步、客户端 Web 访问
双向(客户端→Active;Active→Passive)
所有 HA 集群(若仅用 HTTPS 可关闭,但建议保留备用)
5001
TCP
业务网络 / 同步网络
DSM HTTPS 加密管理端口,优先用于安全配置同步、客户端加密访问
双向
所有 HA 集群(推荐为主用管理端口)
5390
TCP
心跳网络 / 同步网络
HA 集群专用同步端口,传输 Active 与 Passive 的实时数据同步(如文件、LUN 数据)
双向(Active↔Passive)
所有 HA 集群(核心同步端口,不可拦截)
3260
TCP
业务网络
iSCSI 服务端口,用于客户端(如虚拟机、服务器)访问 iSCSI LUN
单向(客户端→Active)
集群提供 iSCSI 服务时
445
TCP
业务网络
SMB 服务端口,用于客户端通过 SMB 协议访问共享文件夹
单向(客户端→Active)
集群提供 SMB 共享时
2049
UDP/TCP
业务网络
NFS 服务端口,用于 Linux 客户端访问共享文件夹
单向(客户端→Active)
集群提供 NFS 共享时
5390
TCP
仲裁网络
外部仲裁服务器通信端口,传输投票信息与状态数据
双向(Active/Passive↔仲裁服务器)
使用外部仲裁服务器时

二、HA 集群防火墙规则配置的 5 项前提条件

操作前需确认集群状态、权限、网络环境满足要求,避免配置过程中出现 “规则无法保存”“端口测试失败” 等问题:
前提类别
具体要求
检查与验证方法
1. DSM 与集群状态
- DSM 版本:Active 与 Passive 服务器均为 DSM 7.0 及以上(旧版 DSM 6.x 规则界面不同,建议升级);- 集群状态:HA 集群已成功创建,状态为 “正常”(无 “降级”“同步失败” 标识)
1. 登录 Active 服务器→“控制面板→更新与还原” 查看 DSM 版本;2. 打开 “高可用集群” 套件→“集群状态”,确认显示 “正常”
2. 管理员权限
需使用 “admin 账号” 或拥有 “防火墙管理权限”“高可用集群权限” 的自定义账号(普通用户无配置权限)
1. 登录 Active/Passive 服务器→“控制面板→用户与群组”;2. 选中操作账号→“编辑→权限”,确认勾选 “防火墙”“高可用集群” 的 “管理员权限”
3. 网络规划完成
已明确 3 类网络的 IP 段(如心跳网络:192.168.0.0/24;业务网络:192.168.1.0/24;仲裁网络:192.168.2.0/24),避免 IP 段重叠
1. 登录 Active 服务器→“控制面板→网络→网络接口”,查看各网口 IP;2. 绘制网络拓扑图,标注每类网络的 IP 范围与节点
4. 外部设备信息明确
已收集 “授权客户端 IP 段”(如公司办公网段 192.168.1.10-192.168.1.200)、“外部仲裁服务器 IP”(如 192.168.2.100),用于规则中的 “来源 / 目标限制”
1. 整理客户端设备清单,确认授权 IP 范围;2. 登录外部仲裁服务器,记录其 IP 地址
5. 防火墙初始状态
Active 与 Passive 服务器的防火墙已 “启用”(若未启用,配置规则后需手动开启,避免遗漏)
1. 登录服务器→“控制面板→安全性→防火墙”;2. 确认 “启用防火墙” 已勾选,若未勾选,先勾选并点击 “应用”(暂不配置规则,避免中断通信)

三、HA 集群防火墙规则配置分步操作(分角色配置)

HA 集群的防火墙规则需在Active 服务器、Passive 服务器、外部仲裁服务器(若使用)分别配置,每类节点的规则侧重点不同,需按角色逐步操作(以 DSM 7.2 为例):

步骤 1:Active 服务器防火墙规则配置(核心:业务 + 心跳 + 仲裁)

Active 服务器需同时处理 “客户端业务访问”“与 Passive 同步”“与仲裁服务器交互”,规则配置最复杂,需分 3 类场景创建规则:

场景 1:允许客户端业务访问(业务网络规则)

目的:仅允许授权客户端访问 Active 服务器的业务端口(如 SMB、iSCSI),拒绝非法 IP:
  1. 登录 Active 服务器→“控制面板→安全性→防火墙→规则→新增”;
  1. 配置规则基本信息:
    • 规则名称:自定义(如 “允许授权客户端访问 SMB”,便于后续管理);
    • 方向:入站(客户端→Active,业务请求从外部进入 Active);
    • 动作:允许(明确允许该类通信);
  1. 配置通信协议与端口:
    • 协议:TCP(SMB 用 TCP 445,iSCSI 用 TCP 3260,按需选择);
    • 端口:若为 SMB,输入 “445”;若为 iSCSI,输入 “3260”(可创建多条规则分别配置不同服务);
  1. 配置来源限制(关键!限制授权客户端):
    • (可选)若需精准限制单 IP,选择 “IP 地址” 并输入具体 IP(如 “192.168.1.50”);
  1. 目标:默认 “所有地址”(Active 服务器的业务网口 IP),无需修改;
  1. 点击 “确定”,重复上述步骤,为 iSCSI(3260)、Web 管理(5001)等业务创建对应规则。

场景 2:允许与 Passive 服务器同步(心跳 + 同步网络规则)

目的:确保 Active 与 Passive 的心跳通信、数据同步不被拦截,需双向允许:
  1. 点击 “新增”,配置心跳端口规则:
    • 规则名称:“允许与 Passive 心跳通信(5390)”;
    • 方向:双向(Active↔Passive,心跳与同步需双向传输);
    • 动作:允许;
    • 协议:TCP;
    • 端口:5390(HA 集群核心同步端口);
    • 来源:选择 “IP 地址”,输入 Passive 服务器的心跳网口 IP(如 “192.168.0.101”);
    • 目标:选择 “IP 地址”,输入 Active 服务器的心跳网口 IP(如 “192.168.0.100”);
  1. 点击 “确定”,再新增 “配置同步端口规则”(5001):
    • 规则名称:“允许与 Passive 配置同步(5001)”;
    • 方向:双向;
    • 协议:TCP;
    • 端口:5001;
    • 来源 / 目标:同上,仅允许 Active 与 Passive 的 IP;
  1. 点击 “确定”,完成同步相关规则配置。

场景 3:允许与外部仲裁服务器交互(仲裁网络规则)

目的:若使用外部仲裁服务器,需允许 Active 与仲裁服务器的投票通信:
  1. 点击 “新增”,配置仲裁端口规则:
    • 规则名称:“允许与外部仲裁服务器通信(5390)”;
    • 方向:双向;
    • 动作:允许;
    • 协议:TCP;
    • 端口:5390;
    • 来源:输入外部仲裁服务器 IP(如 “192.168.2.100”);
    • 目标:输入 Active 服务器的仲裁网口 IP(如 “192.168.2.100”);
  1. 点击 “确定”,完成 Active 服务器所有规则配置。

步骤 2:Passive 服务器防火墙规则配置(核心:同步 + 仲裁)

Passive 服务器不直接处理客户端业务,仅需与 Active 同步、与仲裁服务器交互,规则更简洁:
  1. 登录 Passive 服务器→“控制面板→安全性→防火墙→新增”;
  1. 配置 “与 Active 同步规则”(同 Active 场景 2,端口 5390、5001):
    • 规则名称:“允许与 Active 同步(5390+5001)”;
    • 方向:双向;
    • 协议:TCP;
    • 端口:5390,5001(多个端口用英文逗号分隔);
    • 来源:Active 服务器的心跳网口 IP(如 “192.168.0.100”);
    • 目标:Passive 服务器的心跳网口 IP(如 “192.168.0.101”);
  1. 点击 “确定”,再新增 “与外部仲裁服务器规则”(同 Active 场景 3,端口 5390):
    • 规则名称:“允许与外部仲裁服务器通信(5390)”;
    • 方向:双向;
    • 协议:TCP;
    • 端口:5390;
    • 来源:外部仲裁服务器 IP(如 “192.168.2.100”);
    • 目标:Passive 服务器的仲裁网口 IP(如 “192.168.2.101”);
  1. 点击 “确定”,注意:Passive 服务器无需配置业务端口规则(如 445、3260),因其不对外提供业务访问。

步骤 3:外部仲裁服务器防火墙规则配置(若使用)

外部仲裁服务器仅需与 Active/Passive 交互,规则聚焦 “允许集群节点访问”:
  1. 登录外部仲裁服务器(以 Synology NAS 为例)→“控制面板→安全性→防火墙→新增”;
  1. 配置仲裁通信规则:
    • 规则名称:“允许 HA 集群节点访问(5390)”;
    • 方向:双向;
    • 动作:允许;
    • 协议:TCP;
    • 端口:5390;
    • 目标:外部仲裁服务器的 IP(如 “192.168.2.200”);
  1. 点击 “确定”,完成配置(无需其他规则,避免暴露多余端口)。

步骤 4:调整规则优先级(关键!避免规则冲突)

防火墙规则按 “从上到下” 顺序生效,若 “拒绝规则” 在 “允许规则” 之前,会导致允许规则失效,需调整优先级:
  1. 在各服务器的防火墙 “规则” 页面,按以下顺序排列规则(优先级从高到低):
      1. 允许心跳 / 同步通信规则(5390、5001,集群核心,优先生效);
      1. 允许仲裁通信规则(5390,关键场景,次优先);
      1. 允许业务访问规则(445、3260 等,按需生效);
      1. 默认拒绝规则(系统自带,所有未匹配的通信均拒绝,放在最后);
  1. 调整方法:选中规则,点击 “上移”“下移” 按钮,调整后点击 “应用” 保存。

四、防火墙规则配置后的 3 项核心验证(确保功能正常)

配置完成后,需通过 “端口连通性”“集群功能”“业务访问” 3 类验证,确认规则无拦截,集群与业务均正常:

1. 端口连通性测试(验证端口是否开放)

使用 “Telnet” 或 “PortQry” 工具,测试关键端口是否能正常访问:
  • 测试心跳端口(5390):
    1. 在 Active 服务器打开命令提示符(需开启 SSH 或本地终端);
    1. 输入telnet 192.168.0.101 5390(Passive 的心跳 IP 与端口);
    1. 若显示 “Connected to 192.168.0.101”,说明端口开放;若显示 “Connection failed”,需检查规则中的 IP 与端口是否正确。
  • 测试业务端口(445):
    1. 在授权客户端(如 192.168.1.50)打开命令提示符;
    1. 输入telnet 192.168.1.100 445(Active 的业务 IP 与 SMB 端口);
    1. 显示 “Connected” 即正常,若拒绝,检查规则中的 “来源 IP 段” 是否包含客户端 IP。

2. HA 集群功能验证(确保同步与切换正常)

  • 同步验证:
    1. 登录 Active 服务器→“高可用集群→同步状态”;
    1. 确认 “数据同步”“配置同步” 均显示 “正常”,无 “同步失败” 日志;
    1. 在 Active 服务器创建一个测试文件(如 “test_ha.txt”),1 分钟后登录 Passive 服务器,确认该文件已同步(在对应共享文件夹中可见)。
  • 故障切换验证(建议低峰期操作):
    1. 在 HA 集群页面→“集群操作→手动切换 Active/Passive”;
    1. 观察切换过程(约 1-2 分钟),确认切换后新 Active 服务器(原 Passive)状态正常;
    1. 测试业务访问:客户端仍通过原业务 IP 访问,确认能正常读写数据(无中断)。

3. 安全拦截验证(确保非法访问被拒绝)

测试未授权 IP 是否被防火墙拦截,验证安全防护效果:
  1. 使用未授权客户端(如 IP 192.168.1.250,不在授权段内);
  1. 尝试访问 Active 服务器的 SMB 共享(输入192.168.1.100);
  1. 若显示 “无法访问” 或 “权限不足”,说明防火墙拦截生效;
  1. 查看防火墙日志:“控制面板→安全性→防火墙→日志”,确认有 “拒绝 192.168.1.250 访问 445 端口” 的记录。

五、常见问题 FAQ(解决规则配置中的高频问题)

Q1:配置防火墙后,Active 与 Passive 同步失败,日志显示 “5390 端口连接超时”,怎么办?

A:核心是心跳端口规则配置错误,解决步骤:
  1. 检查规则中的 “方向”:确认心跳端口(5390)规则为 “双向”,而非 “单向”(同步需 Active→Passive 与 Passive→Active 双向通信);
  1. 检查 IP 与端口:确认规则中的 “来源 / 目标 IP” 是心跳网口 IP(如 192.168.0.100/101),而非业务网口 IP;
  1. 临时关闭防火墙测试:若关闭后同步恢复,说明规则仍有问题,重新核对表 2 中的端口与通信方向。

Q2:客户端能访问 Active 服务器的共享文件夹,但无法访问 iSCSI LUN,怎么排查?

A:大概率是 iSCSI 端口(3260)规则未配置,步骤:
  1. 登录 Active 服务器→“防火墙→规则”,确认是否有 “允许客户端访问 3260 端口” 的规则;
  1. 若没有,按步骤 1 场景 1 新增规则:方向 “入站”、协议 “TCP”、端口 “3260”、来源 “授权客户端 IP 段”;
  1. 测试端口:在客户端用telnet ActiveIP 3260,确认连通后重新连接 iSCSI LUN。

Q3:使用外部仲裁服务器时,集群显示 “仲裁通信失败”,防火墙规则没问题,怎么办?

A:需检查 “仲裁服务器的规则方向” 与 “IP 是否正确”:
  1. 确认外部仲裁服务器的规则方向为 “双向”(集群节点→仲裁服务器需发送投票请求,仲裁服务器→节点需返回结果);
  1. 核对仲裁服务器的 IP:确保集群节点规则中的 “来源 IP” 是仲裁服务器的实际 IP,无拼写错误(如将 192.168.2.200 写成 192.168.1.200);
  1. 检查仲裁服务器的防火墙日志:查看是否有 “允许集群节点访问 5390 端口” 的记录,无则说明规则未生效,重新保存规则并应用。

六、HA 集群防火墙配置的 5 项安全建议(长期运维)

  1. 最小权限原则:业务端口规则仅允许 “授权 IP 段” 访问,避免 “所有 IP” 开放(如 SMB 端口仅允许公司办公网段,不允许公网 IP);
  1. 定期审计规则:每季度检查防火墙规则,删除无用规则(如已停用的 NFS 服务对应的 2049 端口规则),避免规则冗余导致冲突;
  1. 日志监控:开启防火墙日志 “实时监控”(“控制面板→安全性→防火墙→日志→实时查看”),发现频繁非法访问时,及时调整规则(如屏蔽恶意 IP);
  1. 备份规则配置:在 Active/Passive 服务器的防火墙页面,点击 “导出”,将规则保存为文件(如 “ha_firewall_rules.cfg”),避免重装系统后重新配置;
  1. 避免过度防护:无需为 “心跳网络” 配置复杂规则(如限制端口速率),心跳通信为内部专用,过度限制会影响同步效率。

总结

Synology HA 集群防火墙规则配置的核心是 “精准识别关键通信,平衡安全与功能”—— 需明确心跳、业务、仲裁三类网络的端口需求,按 Active、Passive、仲裁服务器的角色差异化配置,同时通过严格的来源限制与规则优先级调整,确保授权通信畅通、非法访问被拦截。配置后务必通过端口测试、集群同步、故障切换验证功能,避免后续业务中断。日常运维中,遵循最小权限原则与定期审计,可长期保障 HA 集群的安全与稳定运行。
Synology HA 集群防火墙规则配置教程:端口开放与安全设置指南

新闻中心

联系我们

技术支持

  • ·

    Synology 无法访问共享文...

  • ·

    Synology NAS Win...

  • ·

    如何用 DiXiM Media ...

  • ·

    Synology DSM常规设置...

  • ·

    Active Backup fo...

  • ·

    Synology NAS打开Of...

  • ·

    Synology Migrati...

  • ·

    Synology Office多...

相关文章

地址:北京市海淀区白家疃尚品园             1号楼225

北京群晖时代科技有限公司

联系群晖
微信咨询

新闻中心