2 安全安装

本节概述了安全安装的规划过程，介绍了系统的几种建议部署拓扑并说明了如何确保磁带库安全。

了解您的环境

要更好地了解安全需求，必须回答以下问题。

需要保护哪些资源？

可以保护生产环境中的许多资源。确定必须提供的安全级别时，请考虑需要保护的资源。

要避免资源被哪些用户访问？

必须避免 Internet 上的任何人和未经授权的内联网用户访问磁带库。

如果对战略性资源的保护失败，将会产生什么后果？

在某些情况下，安全架构中出现的故障很容易被检测到，并且这种故障仅仅被视为操作不便。其他情况下，故障可能对使用磁带库的公司或个人客户造成巨大损害。了解每个资源的安全后果有助于对其进行正确的保护。

确保磁带库安全

默认情况下，磁带库使用表 2-1 SL150 网络端口中列出的端口。应将防火墙配置为允许使用这些端口进行通信并阻止那些未使用的端口。

表 2-1 SL150 网络端口

端口	类型	说明
22	TCP	SSH CLI 访问－入站有状态 仅用于开发测试和调试，未在字段中提供
25	TCP	无验证的 SMTP
67	DHCP	客户机－出站
68	DHCP	客户机－入站
80	HTTP	用于远程用户界面的 WebLogic 端口
123	NTP	网络时间协议（如果启用）
161	UDP	SNMP 库代理请求－入站有状态
162	UDP	SNMP 库陷阱和通知－对于陷阱，出站无状态；对于通知，出站有状态
465	TCP	具有 SSL 或 TLS 验证的 SMTP
443	HTTPS	用于远程用户界面的 WebLogic HTTPS 端口
546	DHCPv6	IPv6 DHCP 客户机－出站
547	DHCPv6	IPv6 DHCP 客户机－入站
33200-33500	TRACEROUTE	软件开发使用

按上面的表列表保留或建议供磁带库使用的有效端口号选择。合法端口号从数字 1 开始，因为零不是合法端口号。

配置 SNMP 时，强烈建议使用 SNMPv3（而不使用 SNMPv2c），以利用其保密性、完整性和验证功能。

配置 SMTP 时，强烈建议使用 TLS 验证（而不使用 SSL 或无验证选项）。

安装配置

本节讲述了安装期间必须进行的安全配置更改。

指定用户 (admin) 密码

首次打开电源时，设置向导将自动在本地操作面板上运行，以获取基本配置信息。这包括管理员帐户用户名和密码、网络设置以及其他基本设置。

只有在完成设置向导步骤后，磁带库才会工作。

随产品提供了一个登录帐户，安装人员必须在设置向导例程的第一步中输入该帐户。之后，用户必须输入新密码，设置向导才能完成。

完成了初始设置向导并且磁带库已充分通电后，可以通过针对所有磁带库设置的浏览器用户界面 (browser user interface, BUI) 执行对磁带库配置的其他修改。

加强密码管理

必须对所有密码应用基本密码管理规则（例如密码长度、密码历史记录和复杂度）。SL150 密码必须介于 8 到 128 个字符之间，且必须至少包含一个数字或特殊字符。安装期间必须更改默认密码且不能重用该密码。

注:

所显示经过掩码的字符数不指示准确的已输入字符数。

浏览器 UI 验证

将用于访问远程用户界面的浏览器设置限制为保持 TLS 1.0 或更高版本，以为低于版本 2.50 的固件级别防范 CVE-2014-3566 风险。磁带库固件将不向下自动协商到版本 2.50 中的 SSLv3。