将Cluster节点放在一个不接触公网的物理网络中。这一选项最为可靠，但也是实施成本最高的。

我们在这里展示了使用这样的物理隔离网络的NDB Cluster设置示例：

图25.7 NDB集群与硬件防火墙

这个设置有两个网络，一個私人（实线框）用于Cluster管理服务器和数据节点，另一个是公网（点线框），SQL节点位于其中。我们将管理和数据节点连接到以太网交换机上，因为这提供了最佳的性能。两者都由硬件防火墙保护，这也被称为网络基于的防火墙。

这种网络设置是最安全的，因为没有任何数据包可以从外部网络到达集群的管理或数据节点——而且集群内部的所有通信都不能到达外部——除非通过SQL节点，这一前提下，SQL节点必须不允许任何数据包被转发。这意味着，当然，所有的SQL节点都必须对抗黑客攻击。

使用一或多个软件防火墙（也称为主机基于的防火墙)来控制哪些数据包可以通过到达不需要访问集群的网络部分。这种类型的设置中，必须在每个可能从外部网络访问的集群主机上安装软件防火墙。

主机基于的选项是最经济实惠的实现方式，但完全依赖于软件提供保护，因此保持安全性相对较为困难。

NDB集群的这种网络设置示例如下：

图25.8 NDB集群与软件防火墙

使用这种网络设置意味着有两个NDB集群主机区域。每个集群主机必须能够与所有其他集群机器通信，但只有运行SQL节点（点线框）的主机才能允许与外部的联系，而那些位于包含数据节点和管理节点（实线框）区域的主机则必须与非集群机器隔离。使用集群的应用程序及其用户不得直接访问管理和数据节点主机。

为了实现这一点，您必须设置软件防火墙，以限制流量类型或类型，如下表所示，根据每台集群主机计算机上运行的节点类型：

除了表格中为给定节点类型显示的流量之外，所有其他流量都应被拒绝。

配置防火墙的具体细节因防火墙应用程序而异，这些内容超出了本手册的范围。iptables 是一种非常常见且可靠的防火墙应用程序，经常与 APF 一起使用，以简化配置。您可以（并应该）查阅您所使用软件防火墙的文档，如果您决定实施一个类似于NDB集群网络设置的混合类型设置，或者讨论在下一项中提到的“混合”类型设置。

还有可能采用两种方法的组合，使用硬件和软件来保护集群——即既使用网络防火墙又使用主机防火墙。这在安全性水平和成本上介于前两种方案之间。这种网络设置将集群放在硬件防火墙后面，但允许来自连接所有集群主机的路由器的入站数据包穿过并到达SQL节点。

使用硬件和软件防火墙组合的一个可能的NDB集群网络部署示例如下：

图25.9 NDB集群与硬件和软件防火墙的结合

在这种情况下，您可以将硬件防火墙设置为拒绝任何外部流量，除了SQL节点和API节点之外，然后只允许它们通过所需的端口进行通信。