2 安全安裝

本節概述安全安裝的規劃程序、描述數種建議的系統建置拓樸，以及說明如何保護磁帶櫃。

瞭解您的環境

為了更進一步瞭解安全需求，請考量下列問題：

在實際執行環境中有許多資源可受到保護。決定您必須提供的安全等級時，請考慮需要保護的資源。

磁帶櫃必須受到保護，避免網際網路上的任何人及未經授權的內部網路使用者存取。

在某些情況下，系統可以輕易偵測到安全方案中的失誤，因此只會造成輕微困擾。在其他情況下，失誤可能造成使用磁帶櫃的公司或個人客戶重大損失。瞭解每種資源的安全相關問題，有助於適當地保護資源。

磁帶櫃預設會使用表格 2-1 SL150 網路連接埠中列示的連接埠。防火牆應設定為允許使用這些連接埠，同時封鎖任何未使用的連接埠。

表格 2-1 SL150 網路連接埠

連接埠	類型	描述
22	TCP	SSH CLI 存取 – 內送狀態性僅供開發測試與除錯之用，不可用於現場
25	TCP	SMTP (不使用認證)
67	DHCP	用戶端 - 外送
68	DHCP	用戶端 - 內送
80	HTTP	遠端使用者介面的 WebLogic 連接埠
123	NTP	網路時間協定 (NTP) (啟用此功能時)
161	UDP	SNMP 磁帶櫃代理程式要求 - 內送狀態性
162	UDP	SNMP 磁帶櫃攔截與告知通知 - 外送非狀態性攔截、外送狀態性告知
465	TCP	SMTP (使用 SSL 或 TLS 認證)
443	HTTPS	遠端使用者介面的 HTTPS WebLogic 連接埠
546	DHCPv6	IPv6 DHCP 用戶端 - 外送
547	DHCPv6	IPv6 DHCP 用戶端 - 內送
33200-33500	TRACEROUTE	軟體開發使用

磁帶櫃的有效連接埠號碼選擇是使用保留的連接埠，或是依照上面表格清單的建議。合法的連接埠號碼是從數字 1 開始，0 並非合法的連接埠號碼。

基於機密、完整性與認證功能，在設定 SNMP 時強烈建議使用 SNMPv3 取代 SNMPv2c。

設定 SMTP 時，強烈建議使用 TLS 認證來取代 SSL 或無認證選項。

本節說明安裝期間必須變更的安全配置。

首次開啟電源時，本機操作面板上會自動執行設定精靈，以取得基本配置資訊。這包含管理員帳號使用者名稱與密碼、網路設定，以及其他基本設定。

完成設定精靈之後，磁帶櫃才能開始運作。

安裝人員必須在設定精靈的第一個步驟中，輸入產品出廠時提供的登入帳號。使用者接著必須輸入新密碼，才能完成安裝精靈。

完成初始安裝精靈並完全啟動磁帶櫃之後，可以透過適用於所有磁帶櫃設定的瀏覽器使用者介面 (BUI) 對進行磁帶櫃配置的其他修改。

必須對所有密碼套用基本密碼管理規則 (例如密碼長度、歷史記錄及複雜程度)。SL150 密碼必須是 8 到 128 個字元，且必須至少包含一個數字或特殊字元。預設密碼必須在安裝期間變更，且不可重複使用。

注意:

顯示的字元數目會經過遮罩，並不代表輸入字元的確實數目。

限制存取遠端使用者介面所使用的瀏覽器設定值維持在 TLS 1.0 或更高版本，以減輕韌體等級低於版本 2.50 的 CVE-2014-3566 漏洞所造成的風險。在版本 2.50 的磁帶櫃韌體中，將不會自動降為使用 SSLv3。