任子行运维安全审计-实施指南20140721(3)

任天行网络安全管理系统_HAC系列快速配置指

新的运维连接切换到备用系统上。 ? 两台运维审计系统的性能满足要求。

? 该组网方式很大程度提高服务器运维的可靠性。

3.1.3. 方案的优缺点分析

优点：

? 能够做数据的热备（需要配置网络存储），一旦主设备出现故障，备用设备继

续提供对运维审计的功能。 ? 在运维管理系统上仅启用静态路由，以保证了设备的性能，降低组网的复杂性。 缺点：

? 一旦运维审计系统出现故障，所有的运维会话将中断，需要重新连接。 ? 无法对特殊的运维工具进行审计。

3.1.4. 配置思路

基础配置步骤

? 网线连接上设备的第一个网卡口，分别通过运维管理页面配置两台设备的接口

及ip地址、默认路由和DNS。 注意事项：

? 设备IP地址默认为192.168.0.1/24 确定设备IP可访问服务器的目标端口。 ? 确定所连接链路是光纤还是以太网线。如果所连接的是光纤，需要通过串口把

地址配置在对应的接口上。串口波特率为115200。 ? 用一条双绞线两端分别连接两台设备的一块空余网卡，配置这两个网卡的IP

地址（可用局域网内没有使用的私有地址，只要两块网卡可通即可），启用并配置HA功能。 ? 配置运维审计系统的网管策略，允许特定地址来访问运维系统。 举例说明：

HA配置

双绞线连接主设备的WAN3和备用设备的WAN2。 主设备名称为HOSTNAME，WAN3配置172.16.1.3，掩码16，广播地址为172.16.255.255；备用设备名称为HOSTNAME88，WAN2配置172.16.1.4，掩码16，广播地址为172.16.255.255。

11

任天行网络安全管理系统_HAC系列快速配置指

172.16.1.2为虚拟IP地址， 172.16.161.2为网关地址，并作为探测地址。 HA配置--主设备

HA配置—备用设备

常见的错误配置如下。

对端节点名称必须为对端设备实际显示的本地节点名称。

3.1.5. 配置文件说明

通过页面配置不需要准备类似与交换机的配置文件。

12

任天行网络安全管理系统_HAC系列快速配置指

3.1.6. 检验配置效果

1. 通过运维管理界面，系统配置中的系统工具，ping 一个在线的服务器地址，是否

能通。Ping 一个DMZ区域外的IP地址，是否能通。tracert www.http://www.wodefanwen.com/或DMZ区域外的一个域名，是否能通。 2. 查看HA配置界面主备设备的状态是否分别为active和standby。

3. 修改配置用电脑IP地址在网管策略IP地址范围之外，查看能够打开运维管理界面

3.2. 应用模型二：带应用发布功能的单机且处于DMZ

3.2.1. 组网图

Windows 服务器DMZLinux/unix 服务器内部网应用发布系统运维审计系统 3.2.2. 方案可满足的需求

运维审计系统和应用发布系统都做单臂接入。可以满足运维审计要求并能够对一些特殊的运维工具进行审计。

3.2.3. 方案的优缺点分析

优点：

? 可以满足运维审计要求。

? 能够对一些特殊的运维工具进行审计。

13

任天行网络安全管理系统_HAC系列快速配置指

? 在运维管理系统上仅启用静态路由，以保证了设备的性能，降低组网的复杂性。 缺点：

? 存在单点故障风险，一旦设备出现故障，运维将会受到影响。

3.2.4. 配置思路

基础配置步骤

1、 网线连接上运维审计系统的第一个网卡口，通过页面配置两台设备的接口及ip

地址、默认路由和DNS。

注意事项：

? IP地址默认为192.168.0.1/24，需要确定设备IP可访问服务器的目标

端口。 ? 确定所连接链路是光纤还是以太网线。如果所连接的是光纤，需要通

过串口把地址配置在对应的接口上。串口波特率为115200。

2、 网线连接上应用发布系统的第一个网卡口，通过RDP连接设备，配置对应接

口的ip地址、网关和DNS。 3、 配置运维审计系统的网管策略，允许特定地址来访问运维系统。 常见的错误配置如下。

IP配置的接口不正确。

3.2.5. 配置文件说明

通过页面配置不需要准备类似与交换机的配置文件。

3.2.6. 检验配置效果

1、 通过运维管理界面，系统配置中的系统工具，ping 一个在线的服务器地址，是否能通。Ping 一个DMZ区域外的IP地址，是否能通。tracert www.http://www.wodefanwen.com/或DMZ区域外的一个域名，是否能通。 2、 通过运维管理界面，添加应用发布设备，能否成功。

3、 修改配置用电脑IP地址在网管策略IP地址范围之外，查看能够打开运维管理界面

14

任天行网络安全管理系统_HAC系列快速配置指

3.3. 应用模型三：运维审计系统单机且无DMZ

3.3.1. 组网图

Windows 服务器Linux/unix 服务器内部网运维审计系统

3.3.2. 方案可满足的需求

运维审计系统和应用发布系统都做单臂接入。可以满足运维审计要求。

3.3.3. 方案的优缺点分析

优点：

? 可以满足运维审计要求。

? 在运维管理系统上仅启用静态路由，以保证了设备的性能，降低组网的复杂性。 缺点：

? 存在单点故障风险，一旦设备出现故障，运维将会受到影响。 ? 无法对特殊的运维工具进行审计。

3.3.4. 配置思路

基础配置步骤

1、 网线连接上运维审计系统的第一个网卡口，通过页面配置两台设备的接口及ip

地址、默认路由和DNS。

15