防火墙保护有价值的数据免受公共访问。 如果数据源位于用于保护的防火墙后面，并且您未使用 Satellite 连接器或 Satellite 位置，那么必须配置防火墙以允许 Cloud Pak for Data as a Service 以及各个服务的 IP 地址。 否则，将拒绝 Cloud Pak for Data as a Service 访问数据源。

要允许 Cloud Pak for Data as a Service 访问专用数据源，请使用防火墙的安全机制来配置入站防火墙规则。 对于使用 Satellite 连接器或 Satellite 位置的连接，不需要入站防火墙规则，这些连接通过执行出站连接来建立链路。 有关更多信息，请参阅 连接到防火墙后的数据。

Cloud Pak for Data as a Service 中的所有服务都主动使用 WebSockets 来正确运行用户界面和 API。 用户与 Cloud Pak for Data as a Service 域之间的任何防火墙都必须允许 HTTPUpgrade。 如果 Cloud Pak for Data as a Service 安装在防火墙后，那么必须启用 wss: // 协议的流量。