跳到内容 中国
HP.com 主页 产品与服务 支持及驱动程序 解决方案 如何购买
» 联系惠普
更多选项
HP.com 主页
 VSE 管理软件安装与更新指南: A.02.50.00 版 > 第 2 章 系统要求

与 HP-UX Bastille 及其他网络防火墙的兼容性
» 

技术文档资料

完整的 PDF 手册
» 相关文档
» 反馈
内容从此开始:

 » 目录

 » 索引

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX Bastille 等网络防火墙软件可能会阻止 VSE 管理软件所使用的通信协议。如果 CMS 或 VSE 受管系统使用了防火墙软件,请遵循下列各节中的配置准则。

VSE 管理软件网络通信协议

VSE 管理软件使用下列网络通信协议从受管系统检索实时利用率数据和历史利用率数据。

  • SSH-2(安全 Shell)协议用于从 CMS 安装 VSE 代理软件,以便支持 Virtualization Manager 的查看和配置功能,以及 Capacity Advisor 的利用率数据收集功能。

  • 基于 Web 的企业管理 (WBEM) 服务用于支持 Virtualization Manager 的查看和配置功能,以及 Capacity Advisor 的利用率数据收集功能。

HP Systems Insight Manager (SIM) 在 CMS 和受管系统之间使用其他通信协议,来提供实时系统状态和 WBEM 指示,并用来实现基于 Web 的应用程序与最终用户之间的基本通信。

如果在 CMS 或受管系统上使用了 HP-UX Bastille 等防火墙软件,则必须配置该防火墙,使其不会阻止所需的网络通信。下面几节提供了配置 HP-UX Bastille 的详细说明。对于其他网络防火墙软件,也必须进行类似的配置。

有关 SIM 安全数据传输的详细信息,请参阅位于以下网站的《HP Systems Insight Manager Installation and Configuration Guide for HP-UX》中的“Secure data transmission”一节:

http://docs.hp.com/en/5991-4498/ch01s08.html

其他信息可以从 HP 白皮书《Understanding HP Systems Insight Manager security》中找到,该白皮书可通过 http://www.hp.com/go/hpsim 上的“Information Library”链接获得。

CMS 的防火墙设置

应该允许下列协议通过 CMS 与受管系统之间的防火墙。

CMS 与受管节点之间的通信

  • Internet Control Message Protocol ICMPv4 Type 8 (Echo)(即 ping 协议)。

  • 通过端口 5989 的 HTTPS 协议,由 WBEM 使用。

  • 通过端口 2381 的 HTTPS 协议,由 Web 代理使用。

  • 通过端口 22 的 SSH-2 协议,由 Distributed Task Facility (DTF) 使用。

  • Global Workload Manager 在 CMS 上使用端口 9617 和 9618。有关更改缺省端口的信息,请参考《HP Integrity Essentials Global Workload Manager 管理员指南》的“通信端口”一节。

CMS 与 Web 浏览器之间的通信

  • 通过端口 280 的 HTTP 协议(初始通信)。

  • 通过端口 50000 的 HTTPS 协议(后续的用户接口通信)。

CMS 上的 Bastille 设置

如果要使用 Bastille/Install-Time Security 来确保 CMS 的安全,请在最初锁闭时应用“Managed DMZ”级别,并将下列 IPFilter 配置规则添加到文件 /etc/opt/sec_mgmt/bastille/ipf.customrules 的顶部: 

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 280
pass in quick proto tcp from any to any port = 50000
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 flags S keep state keep frags

然后使用 bastille -b 命令重新运行 Bastille。

受管系统上的防火墙设置

应该允许下列协议通过防火墙:

  • Internet Control Message Protocol ICMPv4 Type 8 (Echo)(即 ping 协议)。需要执行入站和出站 ping 操作来获取 SIM 发现和系统状态。

  • 通过端口 5989 的 HTTPS 协议,由 WBEM 使用。

  • 通过端口 2381 的 HTTPS 协议,由 Web 代理使用。

  • 通过端口 22 的 SSH-2 协议,由 Distributed Task Facility (DTF) 使用。

  • Global Workload Manager 在受管节点上使用端口 9617。有关更改缺省端口的信息,请参考《HP Integrity Essentials Global Workload Manager 管理员指南》的“通信端口”一节。

受管系统上的 Bastille 设置

如果要使用 Bastille/Install-Time Security 来确保受管系统的安全,请在最初锁闭时应用“Managed DMZ”级别,并将下列 IPFilter 配置规则添加到文件 /etc/opt/sec_mgmt/bastille/ipf.customrules 的顶部: 

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags

然后使用 bastille -b 命令重新运行 Bastille。



在受管系统上使用 gWLM 的其他要求
  		 


本发行说明中的其他要求  
打印版本
保密声明 使用本网站表示您同意其使用条件
© 2006-2007 Hewlett-Packard Development Company, L.P.