2 安全安装

本节概述了安全安装和配置的规划和实现过程，介绍了系统的几种建议部署拓扑并说明了如何确保磁带库安全。

了解您的环境

要更好地了解安全需求，必须回答以下问题：

需要保护哪些资源？

可以保护生产环境中的许多资源。确定必须提供的安全级别时，请考虑需要保护的资源。

要避免资源被哪些用户访问？

必须避免 Internet 上的任何人都能访问磁带库。但是，是否应避免企业 Intranet 中的员工访问磁带库？

如果对战略性资源的保护失败，将会产生什么后果？

在某些情况下，安全架构中出现的故障很容易被检测到，并且这种故障仅仅被视为操作不便。其他情况下，故障可能对使用磁带机的公司或个人客户造成巨大损害。了解每个资源的安全后果有助于对其进行正确的保护。

确保磁带库安全

默认情况下，磁带库使用下表中列出的端口。应将防火墙配置为允许使用这些端口进行通信并阻止那些未使用的端口。SL8500 和 SL3000 磁带库支持 IPv4。

表 2-1 所用网络端口

端口	SL500	SL3000	SL8500
22 tcp－SSH CLI 和 SLC 访问－入站有状态	X	X	X
115 tcp－从 SLC 下载 SFTP 代码－入站有状态	X	X	X
161 udp－SNMP 库代理请求－入站有状态	X	X	X
162 udp－SNMP 库陷阱和通知－对于陷阱，出站无状态；对于通知，出站有状态	X	X	X
68 udp－DHCP 客户机－入站和出站	X
50001-50016 tcp－HLI 主机访问－入站有状态		X	X
33200-33500 udp - traceroute（在 CLI 中调试路由表）－出站有状态		X	X

配置 SNMP 时，强烈建议使用 SNMPv3（而不使用 SNMPv2c），以利用其保密性、完整性和验证功能

安装 Streamline Library Console (SLC) 应用程序和 Web 应用程序归档 (Web Application Archive, WAR) 文件

SLC 应仅安装在与磁带库相同的受保护网络基础结构内的系统中。应在安装了 SLC 的系统上强制执行客户访问控制，以确保对磁带库的访问受到限制。有关 SLC 使用的端口，请参见表 2–1

有关通过 Web 启动 SLC 安装的说明，请参阅以下磁带库用户指南。

• SL500 用户指南

• SL3000 用户指南

• SL8500 用户指南

安装后配置

本节讲述了安装后必须进行的安全配置更改。

为用户指定 (admin) 密码。

客户的 admin 帐户密码由一次性密码 (One Time Password, OTP) 基础结构管理。在磁带库的使用寿命内，有 280 个密码可供使用，以备忘记 admin 密码而需要重置时使用。首个 OTP 位于粘贴在框架上的标签中。您的服务代表在安装磁带库时将使用此 OTP。之后您可以根据自己的选择输入密码。

加强密码管理

必须对管理员密码应用基本密码管理规则（例如密码长度和复杂度）。