維運平台安全模式- FineOps繁体帮助文档

最後修改時間：2025-11-28

1. 概述

1.1 版本

維運平台版本	功能變更
V2.27.0	-

1.2 應用場景

國企、銀行等客戶，對系統的安全要求較高，需要對維運平台開啟防護機制。

維運平台提供自身的組件級配置「安全模式」，限制外部存取並消除資料殘留風險，確定系統僅對授權網段開放，且敏感操作痕跡自動清理，進而透過安全掃描並降低攻擊面。

2. 開啟安全模式

1）管理者登入維運平台，點選「維運平台管理>維運組件」。

2）支援為維運平台的這些組件容器開啟「安全模式」：nginx、registry

3）彈窗提醒「開啟安全模式後將自動修改組件相關配置」，點選「確定」，系統自動調整安全相關配置，開啟成功。

關閉安全模式的操作與開啟相同，再次點選對應組件容器的「安全模式」按鈕即可。

3. 安全模式影響說明

3.1 nginx

開啟安全模式後：維運平台外掛目錄/nginx/conf/safe中自動建立 safe.conf 檔案，該檔案將作為自訂配置檔案載入到維運平台的 Nginx 主配置中。
關閉安全模式後：safe.conf 檔案被自動刪除，相關配置自動消失。

預設配置

safe.conf 檔案包含以下安全回應頭設定，所有經過該 Nginx 容器轉發的組件回應都將攜帶這些安全頭：

經過 Nginx 轉發帶有安全頭的組件：alertmanager，pushgateway，grafana，prometheus，skywalking_oap

add_header Referrer-Policy "same-origin" always;

add_header X-Permitted-Cross-Domain-Policies "none";

add_header Content-Security-Policy "object-src 'self'";

add_header X-Download-Options "noopen";

add_header X-Content-Type-Options "nosniff";

add_header X-XSS-Protection "1; mode=block";

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

add_header Cache-Control "no-cache";

add_header Pragma "no-cache";

add_header Expires "Thu, 01 Jan 1970 00:00:00 GMT";

自訂配置

管理者可透過編輯/fanruanxxx/nginx/conf/safe/safe.conf檔案，自訂修改請求頭的配置值。

header

說明

Referrer-Policy

作用：

控制瀏覽器在跨域請求時傳送的Referer資訊，防止敏感URL參數公佈，避免跨站請求僞造（CSRF）攻擊

支援值說明：（預設值same-origin）

值	說明
no-referrer	完全不傳送 Referer 頭
no-referrer-when-downgrade	HTTPS→HTTPS 傳送完整 URL，HTTPS→HTTP 不傳送
same-origin	同源時傳送完整 URL，跨域時不傳送
origin	只傳送協定+主機+埠，不傳送路徑和查詢參數
strict-origin	同 origin，但 HTTPS→HTTP 時不傳送
origin-when-cross-origin	同源傳送完整 URL，跨域只傳送 origin
strict-origin-when-cross-origin	同源傳送完整 URL，跨域 HTTPS→HTTPS 傳送 origin，HTTPS→HTTP 不傳送
unsafe-url	總是傳送完整 URL（即使從 HTTPS 到HTTP）

X-Permitted-Cross-Domain-Policies

作用：

限制不同域名間的資源存取權限，可有效降低跨域攻擊風險

支援值說明：（預設值none）

值	說明
none	不允許任何跨域策略檔案（最安全）
master-only	只允許主策略檔案（/crossdomain.xml）
by-content-type	只允許 Content-Type 為text/x-cross-domain-policy 的策略檔案
by-ftp-filename	只允許檔案名稱為 crossdomain.xml 的策略檔案（FTP 場景）
all	允許所有策略檔案（最不安全）

Content-Security-Policy

作用：

內容安全策略，透過資源載入白名單策略保障網頁安全，防禦XSS攻擊和資料注入威脅

支援值說明：（預設值object-src 'self'）

該請求頭的值由指令和指令值組成，支援為不同指令設定值。

例如：add_header Content-Security-Policy "default-src 'self'; object-src 'none'";

本文僅列出常見的指令和指令值，更多內容請自行百度學習。

	說明
指令
default-src‌	所有資源的預設來源（如未單獨設定，則繼承此規則）‌
‌script-src‌	控制 JavaScript 的來源
‌style-src‌	控制 CSS 的來源
‌img-src‌	控制圖片的來源
‌connect-src‌	控制AJAX、WebSocket等網路請求的目標‌
font-src	控制字體的來源
object-src	控制<object>, <embed>, <applet>標籤
‌frame-src‌	控制<iframe>嵌入來源‌
report-uri	設定違規報表傳送地址，用於監視策略執行情況‌
指令值
'self'	只允許同源資源
'none'	禁止任何資源
'unsafe-inline'	允許行內腳本/樣式（降低安全性）
'unsafe-eval'	允許使用eval()等動態執行程式碼（降低安全性）

X-Download-Options

作用：

禁止瀏覽器自動開啟下載檔案，防範IE瀏覽器的檔案預覽執行風險

支援值說明：（預設值noopen）

noopen：唯一有效值，禁止自動開啟下載檔案

X-Content-Type-Options

作用：

禁止瀏覽器 MIME 嗅探，確定瀏覽器遵循伺服器提供的MIME類型，提高安全性和一致

支援值說明：（預設值nosniff）

nosniff：唯一有效值，禁止 MIME 嗅探

X-XSS-Protection

作用：

控制瀏覽器XSS過濾機制，透過檢查回應中的惡意腳本阻止頁面載入

支援值說明：（預設值1; mode=block）

值	說明
0	禁用過濾
1	啟動過濾
1; mode=block	啟動過濾並阻止整個頁面渲染
1; report=<uri>	僅支援 Chrome 瀏覽器：啟動過濾併傳送違規報表

Strict-Transport-Security

作用：

強制瀏覽器使用 HTTPS 連結，防止 SSL 剝離攻擊

完整文法：max-age=<seconds>; includeSubDomains; preload

預設值：max-age=31536000; includeSubDomains

max-age：HSTS 有效期（秒），建議≥31536000（1 年）
includeSubDomains：應用於所有子域名
preload：申請加入瀏覽器 HSTS 預載入列表

Cache-Control

作用：

指定請求和回應遵循的快取機制

支援值說明：（預設值no-cache）

值	說明
no-store	禁止任何快取
no-cache	可快取但必須重新驗證
must-revalidate	過期後必須重新驗證
max-age=<seconds>	快取有效期
public	允許共享快取
private	僅允許瀏覽器快取

Pragma

作用：

控制HTTP快取機制

支援值說明：（預設值no-cache）

no-cache：唯一常用值，效果類似 Cache-Control: no-cache

Expires

作用：

指定資源的過期時間

預設值：Thu, 01 Jan 1970 00:00:00 GMT

3.2 registry

組件說明：

Registry 是維運平台的鏡像倉庫組件，用於儲存專案組件的私有鏡像等敏感資訊。關閉 Registry 可阻斷外部網路存取，有效降低潛在風險。

安全模式啟停說明：

安全模式開啟時：Registry 容器將自動關閉（狀態變更為 exited）
使用者可透過手動點選「啟動」或「關閉安全模式」按鈕啟動 Registry 容器

影響範圍：

關閉 Registry 容器將導致以下依賴本地鏡像倉庫的操作無法執行：

部署、升級專案
擴容、新增組件
備份、還原專案

因此請在執行這些操作前，手動啟動 Registry 容器

已經是第一篇

已經是最後一篇

有幫助
沒幫助
只是瀏覽

中文（简体） English

繁體

維運平台安全模式

1. 概述

1.1 版本

1.2 應用場景

2. 開啟安全模式

3. 安全模式影響說明

3.1 nginx

3.2 registry

附件列表