三、SAM系统安全
1、RG-SAM 管理系统尽量不要安装在外网,或者可能被很多人操作的机器上,建议安装在DMZ区
2、RG-SAM 自助服务强烈建议限制在内网内使用,不要向外网公开。
3、RG-SAM管理平台和自助服务分别装在不同的服务器上
4、建议用户做好策略路由、汇聚设备上作ACL等防护措施
5、如果访问RG-SAM的IP是固定的(例如管理员办公地点固定时),可以为RG-SAM服务器设置防火墙,只允许这些IP访问,禁止其它不明IP访问。
6、如果需要在SAM环境下开启防火墙保护,请确保下列进程及端口位于防火墙的“例外”列表中。否则SAM将不能正常工作。
端口:(以默认的端口值为例)详细端口信息请见各版本SAM+操作手册
TCP端口号 | 备注 |
80,8080,8443 | SAM界面访问端口 |
20120 | 出口联动设备:防火墙的联动端口 |
2012 | 出口设备流量上下线交互 |
2009 | 与ACE流量设备的上下线交互 |
4739 | 流量接收端口 |
1433,1434 | 数据库端口 |
20,21 | FTP服务器默认端口 |
14148 | RGAC FTP默认端口 |
1098,1099,4444,4445,8009, 8083,8090,8092,8093,7810-7812 | Jboss服务端口 |
22,9401,9501 | 大日志组件端口 |
1512,4444,4445 | 集群所用端口 |
备注 | |
1812,1813 | 认证计费端口 |
8888,9999 | Portal与SAM交互端口 |
7686,7687 | 课表组件对接端口 |
2000 | 无线终端认证,设备认证端口(仅数据库配置中能修改) |
2011 | 集群UDP心跳端口 |
1162 | Jboss服务端口 |
123 | 时间同步端口 |
53,138 | SU直通端口 |
161,162 | SNMP协议 |
5353,5354,5355 | 集群所用端口 |
概念解释:
a、该端口可以在SAM系统管理>SAM兼容性组件管理中配置,SAM 兼容性组件用于支持第三方厂商有线1x 交换机、MX 无线交换机、WS 无线交换机的1x 认证。
b、直通端口作用一为在兼容性设备认证的时候,客户端认证通过后直接与SAM交互信息,踢用户下线时SAM通过直通端口下发强制下线信息。
c、在开启客户端V3防破解功能时,直通端口也负责SAM和客户端之间的心跳通讯,在配置ACL等安全策略时,注意务必放通心跳报文。
d、考虑到53和138端口较常用,且不会与其他常用端口冲突,因此这两个端口如果不是特殊需求请不要修改,否则会造成兼容性设备认证环境下客户端与SAM通讯异常。
第三方程序端口:
1)SQL Server的默认监听端口:1433(TCP)——可在数据库软件中配置,无特殊需求不建议修改
2)SQL Server的默认监听端口:1434(TCP)——可在数据库软件中配置,无特殊需求不建议修改
进程
SQL安装目录\MSSQL\Binn\sqlservr.exe(SQL Server 2000)
数据库使用SQL 2000时的服务进程,如果没有启动将无法访问SQL 2000
SQL安装目录\MSSQL.1\MSSQL\Binn\sqlservr.exe(SQL Server
2005)
数据库使用SQL 2005时的服务进程,如果没有启动将无法访问SQL 2005
SQL安装目录\MSSQL.1\MSSQL\Binn\sqlservr.exe(SQL Server
2008)
数据库使用SQL 2008时的服务进程,如果没有启动将无法访问SQL 2008
SAM安装目录\RGSAMService.exe
SAM服务进程,如果没有,则说明没有安装SAM服务或者SAM服务未启动
SAM安装目录\RGNSMng.exe
SAM服务管理器进程
SAM安装目录\RG-Service-Mon.exe
SAM服务管理器监控进程,用于监控java的运行状况,并通知管理器,如果没有的话,将无法打开服务管理器