與 HP-UX Bastille 和其他網路防火牆的相容性

如 HP-UX Bastille 的網路防火牆可能會阻擋「VSE 管理軟體」使用的通訊協定。如果您的 CMS 或 VSE 管理系統使用防火牆軟體，請遵循下列各節中的配置準則進行。

VSE 管理軟體網路通訊協定

「VSE 管理軟體」利用下列網路通訊協定自受管理系統及其相關應用程式擷取即時和歷程使用量資料。

使用 SSH-2 (secure shell) 通訊協定自 CMS 安裝 VSE 代理程式軟體，以支援虛擬化管理員的視覺化和配置特性，以及為容量規劃員蒐集使用量資料。
使用以網頁為基礎的企業管理 (WBEM) 服務以支援虛擬化管理員的視覺化和配置特性，以及為容量規劃員蒐集使用量資料。
OpenSSL 通訊協定可用於取得應用程式探索 (Application Discovery) 的受管理系統的應用程式資訊。

HP SIM 需要 CMS 與受管理系統之間的額外連通性，方能提供即時系統狀況和 WBEM 預警 (indication)，和用於以網頁為基礎的應用程式與終端使用者間的基本通訊。

若是在 CMS 或在受管理系統上使用如 HP-UX Bastille 的防火牆軟體，必須將它配置為不會阻擋必要的網路通訊。下列各節提供 HP-UX Bastille 的詳細配置指示說明。其他的網路防火牆軟體必須以相同類似的方法配置。

如需有關 HP SIM 安全資料傳輸和相關問題的額外資訊，請參閱手冊和 http://hp.com/go/hpsim 中「Information library」連結的白皮書。

CMS 上的防火牆設定值

應允許下列的通訊協定組通過在 CMS 與受管理系統間的防火牆。

CMS 與受管理節點之間的通訊

網際網路控制訊息通訊協定 ICMPv4 Type 8 (Echo)，如 ping 通訊協定。
透過連接埠 5989 的 HTTPS，WBEM 使用。
透過連接埠 2381 的 HTTPS，Web 代理程式使用。
透過連接埠 22 的 SSH-2，Distributed Task Facility (DTF) 使用。
透過連接埠 9143 的 OpenSSL，「應用程式探索」使用。
「全域工作負載管理員」使用 CMS 上的連接埠 9617 和 9618。若需變更預設連接埠的相關資訊，請參閱《HP 全域工作負載管理員 4.0 版使用指南》的「通訊連接埠」一節。

CMS 與網頁瀏覽器之間的通訊

透過連接埠 280 的 HTTP (初始通訊)
透過連接埠 50000 的 HTTPS (後續使用者介面通訊)

CMS 上的 Bastille 設定值

若使用 Bastille/安裝-時 (Install-Time) 安全性來確保 CMS 的安全，請將初始封鎖 (initial lockdown) 設在「Managed DMZ」層級。欲在 CMS 配置 Managed DMZ，請遵循程序 2-1。若需其他資訊，請參閱 bastille(1M)。

程序 2-1 在 HP-UX Bastille 下將 CMS 配置設為 Managed DMZ

將配置檔 /etc/opt/sec_mgmt/bastille/MANDMZ.config 複製到 /etc/opt/sec_mgmt/bastille/config。
附註： 在某些 HP-UX Bastille 版本中，MANDMZ.config 檔案可能位於 /etc/opt/sec_mgmt/bastille/ 下的子目錄中。

將下列規則加入到 /etc/opt/sec_mgmt/bastille/ipf.customrules 的上方。




	附註：以「`\`」結尾的行需與下一行合併，並在單一一行中輸入。

# 自訂 CMS 防火牆規則
# 允許 ping
pass in quick proto icmp from any to any icmp-type 8 \
keep state

# 允許在連接埠 280 透過 HTTP 進行入站 (inbound) HP SIM 連線
pass in quick proto tcp from any to any port = 280
# 允許在連接埠 50000 透過 HTTPS 進行入站 (inbound) HP SIM 連線
pass in quick proto tcp from any to any port = 50000

# 全域工作管理員使用連接埠 9617 和 9618
# 與遠端代理程式通訊
pass in quick proto tcp from any to any port = 9617 \
flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 \
flags S keep state keep frags

# 應用程式探索在連接埠 9143 使用 OpenSSL
pass in quick proto tcp from any to any port = 9143 \
flags S keep state keep frags

輸入下列命令來執行 Bastille 配置引擎：
# /opt/sec_mgmt/bastille/bin/bastille -b

受管理系統的防火牆設定值

下列是應設為可以通過防火牆的通訊協定群組；

網際網路控制訊息通訊協定 ICMPv4 Type 8 (Echo)，如 ping 通訊協定。SIM 的探索作業及系統狀況需要顯示的入站和出站 ping。
透過連接埠 5989 的 HTTPS，WBEM 使用。
透過連接埠 2381 的 HTTPS，Web 代理程式使用。
透過連接埠 22 的 SSH-2，Distributed Task Facility (DTF) 使用。
「全域工作負載管理員」使用受管理節點上的連接埠 9617。若需變更預設連接埠的相關資訊，請參閱《HP 全域工作負載管理員 4.0 版使用指南》的「通訊連接埠」一節。

受管理系統上的 Bastille 設定值

若使用 Bastille/安裝-時 (Install-Time) 安全性來確保受管理系統的安全，請將初始封鎖 (initial lockdown) 設在「Managed DMZ」層級。欲在受管理系統配置 Managed DMZ，請遵循程序 2-2。若需其他資訊，請參閱 bastille(1M)。

程序 2-2 在 HP-UX Bastille 下將受管理系統的配置設為 Managed DMZ

將配置檔 /etc/opt/sec_mgmt/bastille/MANDMZ.config 複製到 /etc/opt/sec_mgmt/bastille/config。
附註： 在某些 HP-UX Bastille 版本中，MANDMZ.config 檔案可能位於 /etc/opt/sec_mgmt/bastille/ 下的子目錄中。