安全数据传输

管理协议

支持的基本管理协议和应用程序是 SSH、基于 Web 的企业管理 (WBEM)、Secure HTTP (HTTPS)、桌面管理接口 (DMI) 和 SNMP。工具并非仅限于这些协议，它们可以提供定制的管理协议。SSH 是必须在所有受管系统上安装的唯一协议。工具需要特定的协议，并且，仅当已正确安装和配置所需的协议时，才能在受管系统上运行这些工具。

SSH  SSH 是一种程序，用于通过网络登录另一系统，并在该系统上执行命令。通过它，用户还可以在系统间移动文件，并通过不安全的通道进行身份验证和安全通信。SSH 使用公用密钥/专用密钥对来提供安全机制，用于验证和加密通信。SSH 密钥用于识别受管系统上的 execute-as（执行身份）用户。通常，execute-as 用户为超级用户或管理员，但是，也可以根据在受管系统上执行的工具配置其他用户。专用密钥固定在 CMS 上，而公用密钥则安装在每个受管系统上。

HP SIM 分布式任务工具 (DTF) 使用 SSH-2 协议与受管系统通信。DTF 可以使用一个命令在管理域中的系统或系统组之间复制操作，因而可以提高操作员的效率。此功能可以减少多系统环境中的管理员的工作量。X Window 和 CLI 工具使用 DTF 来执行和支持下列任务：

DTF 可以将 CMS 连接到在每个受管系统上运行的 SSH 服务器软件。DTF 会告知 SSH 服务器必须在系统上执行哪些任务。然后，SSH 服务器将执行这些任务，并将结果返回给 DTF。DTF 将整合所有受管系统发送的反馈。

WBEM   WBEM 行业标准可简化系统管理，它基于一系列为统一企业计算环境的管理而开发的管理和 Internet 标准技术。通过 WBEM，可访问软件数据和硬件数据（供符合 WBEM 标准的应用程序读取）。

HP SIM 维护着一个运行 WBEM 的受管系统所使用的口令的数据库。该数据库包含每个受管系统的用户名和口令，对使用该协议的工具提供用户身份验证时，需要使用这些用户名和口令。这些帐户无须其他访问功能，例如登录权限。它们仅供 HP SIM 访问 WBEM 时使用。可通过 CLI 或 GUI 设置 WBEM 用户名和口令。有关详细信息，请参阅 http://docs.hp.com/zh_cn/index.html 上的《HP Systems Insight Manager 5.2 用户指南》中的“管理软件”一节。

HP SIM 使用 HTTPS 访问 WBEM 数据，可为系统管理数据提供安全的路径。

HTTPS  简言之，HTTPS 即基于 SSL 的 HTTP（HTTP over SSL），它是一种支持通过 Web 安全发送数据的协议。HTTPS 可用于访问 WBEM 数据（请参阅上一节中的说明），并可用于访问 ProLiant 代理信息。将使用数字证书（而不是用户名和口令）在代理和 CMS 之间建立信任关系。应将 CMS 的证书加载到 CMS 管理的每个代理中。

DMI（仅适用于 HP-UX 11.0 以及更早的受管系统）  在当前的 HP SIM 环境中，DMI 仅用于从 HP-UX 11.0 系统中收集清单数据。DMI 是桌面管理任务组开发的一种行业标准协议，主要用于客户端管理。DMI 可提供有效的方式来报告客户端系统问题。符合 DMI 标准的计算机可通过网络将状态信息发送到 CMS。无法通过 WBEM 和 SNMP 获取信息的系统清单集合支持 DMI。HP-UX CMS 使用 DMI 从其他 HP-UX 系统收集系统信息。DMI 不是安全的协议。因此，任何有权访问网络的用户都可以截获和查看 DMI 事务处理。

SNMP  SNMP 是一组用于管理复杂网络的协议。SNMP 的工作方式是将消息（称为协议数据单元 (PDU)）发送到网络的不同位置。符合 SNMP 标准的设备（称为代理）在管理信息库 (MIB) 中存储有关其自身的数据，并将这些数据返回给 SNMP 请求者。SNMP 具有多个版本。SNMP 版本 1 供 HP SIM 使用，它不是安全的协议。因此，任何有权访问网络的用户都可以截获和查看 SNMP 事务处理。

HP SIM 维护着一个运行 SNMP 的受管系统所使用的读取和写入社区名的数据库。这些社区名必须与管理系统上配置的社区名匹配。可通过 CLI 或 GUI 设置 SNMP 社区名和口令。有关详细信息，请参阅 http://docs.hp.com/zh_cn/index.html 上的《HP Systems Insight Manager 5.2 用户指南》中的“管理软件”一节。

HP SIM 不使用 SNMP SetRequests。缺省情况下，支持的操作系统平台会禁用 SNMP SetRequests。为提高安全性，请不要在 CMS 或受管系统上启用 SNMP SetRequests。即便是 SNMP GetRequest 响应也有可能被欺骗，因此，应将来自 SNMP 的所有信息视为不安全。

Web 服务器安全性

HP SIM 在 CMS 上使用 Tomcat Web 服务器。缺省情况下，将关闭 HP SIM 不需要的 Tomcat 功能。这些功能包括服务器端包含 (Server Side Includes) 和通用网关接口脚本。

自签名证书

如果未将有效证书安全地导入客户端或浏览器，那么， 通过 WEBM 和 Web 服务器身份验证使用的自签名证书，其他系统 则可以模拟 CMS，这种技术称为电子欺诈。要防止出现电子欺诈，请使用受信的证书颁发机构 (CA) 签名的证书，或者通过本地浏览到 CMS，安全地导出证书，然后安全地将其导入到浏览器中。也可以在第一次访问 HP SIM 时，通过远程浏览并在浏览器中保存来获取服务器证书，但这种做法的安全性较低，并且仍然可能受到“中间人”攻击。http://docs.hp.com/zh_cn/index.html 上的《HP Systems Insight Manager 5.2 用户指南》 上的“管理软件”一节中提供了有关导入 CA 签名证书的信息。

X 应用程序安全性

在受管系统上运行的 X 客户端（或应用程序）与网络客户端上的 X 服务器之间交换的数据，是通过网络以明文形式传输的。HP 建议在安全性非常重要的环境中不要使用 X 客户端。

管理防火墙后面的服务器

使用 SSH、HTTPS 和 WBEM 协议时，HP SIM 支持管理位于防火墙后面的服务器。HP 建议不要将 SNMP 和 DMI 协议用于此用途，因为它们不是安全的协议。必须配置防火墙，使其允许此流量通过。将使用下列端口：

有关 HP SIM 使用的端口的完整列表，请参阅《Understanding HP SIM Security》白皮书。该白皮书可从 http://www.hp.com/go/hpsim/ 获取。