2 安全安裝

本節概述安全安裝與配置的規劃及實作程序、描述數種建議的系統建置拓樸，以及說明如何保護磁帶櫃。

瞭解環境

為了更進一步瞭解安全需求，請考量下列問題：

需要保護哪些資源？

在實際執行環境中有許多資源可受到保護。決定您必須提供的安全等級時，請考慮需要保護的資源。

必須防止哪些人存取資源？

網際網路上的任何人皆不得存取磁帶櫃。但是，是否應該讓企業內部網路中的員工存取磁帶櫃？

萬一策略性資源的保護失敗會如何？

在某些情況下，系統可以輕易偵測到安全方案中的失誤，因此只會造成輕微困擾。但在其他情況下，失誤可能造成使用磁帶機的公司或個人客戶重大損失。瞭解每種資源的安全相關問題將有助於適當地保護資源。

保護磁帶櫃

磁帶櫃預設會使用下表列示的連接埠。防火牆應設定為允許使用這些連接埠，同時封鎖任何未使用的連接埠。SL8500 與 SL3000 磁帶櫃支援 IPv4。

表格 2-1 使用的網路連接埠

連接埠	SL500	SL3000	SL8500
22 tcp - SSH CLI 與 SLC 存取 - 內送狀態性	X	X	X
115 tcp - 從 SLC 下載的 SFTP 程式碼 - 內送狀態性	X	X	X
161 udp - SNMP 磁帶櫃代理程式要求 - 內送狀態性	X	X	X
162 udp - SNMP 磁帶櫃攔截與告知通知 - 外送非狀態性攔截、外送狀態性告知	X	X	X
68udp - dhcp 用戶端 - 內送與外送	X
50001-50016 tcp - HLI 主機存取 - 內送狀態性		X	X
33200-33500 udp - 追蹤路由 (路由表的 CLI 除錯) - 外送狀態性		X	X

基於機密、完整性與認證功能，在設定 SNMP 時強烈建議使用 SNMPv3 取代 SNMPv2c。

安裝 Streamline Library Console (SLC) 應用程式與 Web 應用程式存檔 (WAR) 檔案

安裝 SLC 的系統應和磁帶櫃一樣，位於受保護的網路基礎架構內。安裝 SLC 的系統應強制實施客戶存取控制，以確保磁帶櫃的存取受到限制。請參閱表格 2–1，瞭解 SLC 使用的連接埠

請參閱下列磁帶櫃使用者指南，取得從 Web 啟動的 SLC 安裝指示。

• SL500 使用者指南

• SL3000 使用者指南

• SL8500 使用者指南

後續安裝配置

本節說明安裝後必須變更的安全配置。

指派使用者 (admin) 密碼。

客戶管理帳戶密碼由「一次性密碼 (OTP)」基礎架構所管理。如果忘記管理密碼而必須重設，磁帶櫃在其整個生命週期中總共提供 280 組密碼。第一組 OTP 會以標籤方式貼在框架上。服務代表會使用這組 OTP 來協助您安裝磁帶櫃。您隨後即可輸入您選擇的密碼。

強制密碼管理

管理員密碼必須遵循基本密碼管理規則 (例如密碼長度與複雜程度)。