回到網頁內容 臺灣-繁體中文
HP.com 首頁 產品資訊 支�#169;及驅動程式 解決方案 如何購買
» 聯絡 HP
進階選項
HP.com 首頁
 VSE 管理軟體安裝與更新指南 A.03.00.00 版 > 第 2 章. 系統需求

與 HP-UX Bastille 和其他網路防火牆的相容性
» 

技術文件

PDF 格式的完整書籍
» 相關文件
» 回饋意見
內容©韟像B開©l

 » 目錄

 » 索引

spacerspacerspacer
spacer
spacer
  		 
 

如 HP-UX Bastille 的網路防火牆可能會阻擋 VSE 管理軟體使用的通訊協定。如果您的 CMS 或 VSE 管理系統使用防火牆軟體,請遵循下列各節中的配置準則進行。

VSE 管理軟體網路通訊協定

VSE 管理軟體利用下列網路通訊協定自 受管理系統及其相關應用程式擷取即時和歷程使用量資料。

  • 使用 SSH-2 (secure shell) 通訊協定自 CMS 安裝 VSE 代理程式軟體,以支援虛擬化管理員的虛擬化和配置特性以及為容量規劃員蒐集使用量資料。

  • 使用 以網頁為基礎的企業管理 (WBEM) 服務以支援虛擬化管理員的虛擬化和配置特性以及為容量規劃員蒐集使用量資料。

  • OpenSSL 通訊協定可用於取得應用程式探索 (Application Discovery) 受管理系統的應用程式資訊。

HP Systems Insight Manager (SIM) 需要 CMS 與受管理系統之間的額外連通性,方能提供即時系統狀況和 WBEM 預警 (indication),和用於以網頁為基礎的應用程式與終端使用者間的基本通訊。

若是在 CMS 或在受管理系統上使用如 HP-UX Bastille 的防火牆軟體,必須將它配置為不會阻擋必要的網路通訊。下列各節提供 HP-UX Bastille 的詳細配置指示說明。其他的網路防火牆軟體必須以相同類似的方法配置。

若需 SIM 安全資料傳輸的相關資料,請參閱可自下列網站取得的《HP Systems Insight Manager 安裝與配置指南,適用於 HP-UX》中的《Secure data transmission》:

http://docs.hp.com/en/5991-4498/ch01s08.html

若需相關資訊,請參閱可自《Information Library》 (http://hp.com/go/hpsim) 取得標題為《Understanding HP Systems Insight Manager security》的 HP 白皮書。

CMS 上的防火牆設定值

應允許下列的通訊協定組通過在 CMS 與受管理系統間的防火牆。

CMS 與受管理節點之間的通訊

  • 網際網路控制訊息通訊協定 ICMPv4 Type 8 (Echo),如 ping 通訊協定。

  • 透過連接埠 5989 的 HTTPS,WBEM 使用。

  • 透過連接埠 2381 的 HTTPS,Web 代理程式使用。

  • 透過連接埠 22 的 SSH-2,Distributed Task Facility (DTF) 使用。

  • 透過連接埠 9143 的 OpenSSL,應用程式探索使用。

  • 全域工作負載管理員使用 CMS 上的連接埠 9617 和 9618。若需變更預設連接埠的相關資訊,請參閱《HP Integrity Essentials 全域工作負載管理員管理者手冊 A.03.00.00 版》的「通訊連接埠」一節。

CMS 與網頁瀏覽器之間的通訊

  • 透過連接埠 280 的 HTTP (初始通訊)。

  • 透過連接埠 50000 的 HTTPS (後續使用者介面通訊)。

CMS 上的 Bastille 設定值

若需使用 Bastille/安裝時 (Install-Time) 安全性以確保 CMS 的安全時,請將初始封鎖 (lockdown) 設在 「Managed DMZ」 層級,並將下列 IPFilter 配置規定新增至 /etc/opt/sec_mgmt/bastille/ipf.customrules 檔案的最上方。 

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 280
pass in quick proto tcp from any to any port = 50000
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9143 flags S keep state keep frags

接著,使用 bastille -b 命令,重新執行 Bastille。

受管理系統的防火牆設定值

下列是應設為可以通過防火牆的通訊協定群組;

  • 網際網路控制訊息通訊協定 ICMPv4 Type 8 (Echo),如 ping 通訊協定。SIM 的探索作業及系統狀況需要顯示的入站和出站 ping。

  • 透過連接埠 5989 的 HTTPS,WBEM 使用。

  • 透過連接埠 2381 的 HTTPS,Web 代理程式使用。

  • 透過連接埠 22 的 SSH-2,Distributed Task Facility (DTF) 使用。

  • 全域工作負載管理員使用受管理節點上的連接埠 9617。若需變更預設連接埠的相關資訊,請參閱《HP Integrity Essentials 全域工作負載管理員管理者手冊 A.03.00.00 版》的「通訊連接埠」一節。

受管理系統上的 Bastille 設定值

若需使用 Bastille/安裝時 (Install-Time) 安全性以確保受管理系統的安全時,請將初始封鎖 (lockdown) 設在 「Managed DMZ」 層級,並將下列 IPFilter 配置規定新增至 /etc/opt/sec_mgmt/bastille/ipf.customrules 檔案的最上方。 

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags

接著,使用 bastille -b 命令,重新執行 Bastille。



在受管理系統上使用 gWLM 的其他需求
  		 


版本需知中的其他需求相關資訊  
可列印版本
隱私權聲明 使用範圍與著作權聲明
© 2006-2007 Hewlett-Packard Development Company, L.P.