防火墙服务#
防火墙服务使用简单防火墙 (UFW) 实现,它提供了一种用户友好的方式来管理 netfilter,netfilter 是 Linux 中的默认防火墙配置工具。Ubuntu 中关于 UFW 的良好介绍和用法记录在此处:此处。
默认情况下,防火墙服务在发行版中处于禁用状态,以确保在平台上构建应用程序的新用户不会无意中阻止其网络流量。但是,我们强烈建议在确定应用程序流量要启用的端口后,更新、启用和使用防火墙服务。
请注意,参考应用程序 docker compose 部署中的各种容器默认在主机网络模式下运行;因此,如果没有防火墙,可以从网络上自由调用这些 API,从而构成安全风险。
启用/禁用 - 防火墙#
使用以下命令启动防火墙服务
sudo systemctl start jetson-firewall
使用以下命令停止防火墙服务
sudo systemctl stop jetson-firewall
注意
防火墙服务中的默认规则仅作为参考提供。强烈建议用户仔细审查规则,并且仅启用与其在 Jetson 平台服务之上构建的应用程序相关的防火墙端口。
AI NVR 应用程序 - 防火墙#
为了增强 Jetson 设备上 NVIDIA 参考应用程序 AI NVR(人工智能网络视频录像机)的安全性和功能,可以使用一组特定的防火墙规则。这些规则旨在 Jetson 平台服务和应用程序堆栈的框架内工作。
以下是在 Jetson 设备上部署 AI NVR 应用程序时可以使用的示例防火墙规则。下面概述的这组 UFW 规则是专门为 AI NVR 应用程序量身定制的,其中考虑了这些应用程序使用的特定端口、协议和服务。这些规则确保仅允许必要的网络流量,从而显着降低未经授权的访问或数据泄露的风险。
要实施这些规则,用户应将 jetson-firewall.sh 文件中现有的 UFW 规则替换为以下配置。此过程涉及编辑脚本文件 (/opt/nvidia/jetson/services/firewall/bin/jetson-firewall.sh) 以将 UFW 规则替换为以下规则,确保它们格式正确并放置在脚本的适当部分中
## SSH port
ufw allow 22
## DNS
ufw allow 53
## External look-up
ufw allow out https
ufw allow out http
## For TCP mux client
ufw allow out 30099/tcp
##For ONVIF probe
ufw allow 3702
## Redis ports for VST
ufw allow in 8000/tcp
ufw allow out 8000/tcp
ufw allow out 6379/tcp
## VST RTSP traffic
ufw allow in 554/tcp
ufw allow out 554/tcp
##For VST GUI
ufw allow in 30000:32767/tcp
ufw allow out 30000:32767/tcp
###Interface specific rules
ufw allow in on lo
ufw allow out on lo
ufw allow eth1
ufw route allow in on eth1 out on eth0
ufw route allow in on eth0 out on eth1
ufw route allow in on eth0 out on eth0
# IGMP multicasting
ufw allow in on eth0 to 224.0.0.1 proto igmp
## WebRTC TURN connections
ufw allow out 3478/udp
ufw allow in 3478/udp
ufw allow out 5349/tcp
## WebRTC media traffic
ufw allow in on eth0 to any port 25000:65535 proto udp
## Deny all other traffic
ufw deny out 1:65535/tcp
ufw default deny incoming
重要的是要注意,修改防火墙设置应谨慎进行。不正确的设置可能导致网络漏洞,或者相反,可能阻止合法的流量,从而阻碍 AI NVR 应用程序的功能。建议用户在受控环境中彻底测试新的防火墙设置,然后再将其应用于活动的 Jetson 设备。
通过遵循这些指南,用户可以增强其 Jetson 设备上 AI NVR 应用程序的安全性,确保其系统受到保护,免受未经授权的访问,同时保持最佳功能。