Novell Doc: Sentinel Rapid Deployment 安装指南

5.2 在网络中保证通讯安全

Sentinel Rapid Deployment 中的各种组件之间通过网络进行通讯，并且系统中使用了各种通讯协议。

5.2.1 Sentinel 服务器进程之间的通讯

Sentinel 服务器进程包括 DAS Core、DAS Binary、关联引擎、收集器管理器和 Web 服务器。它们使用 ActiveMQ 互相进行通讯。

默认情况下，这些服务器进程之间的通讯使用 SSL 通过 ActiveMQ 讯息总线进行。要配置 SSL，请在 <安装目录>/configuration.xml 中指定以下信息：

<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>

有关设置自定义服务器和客户端证书的详细信息，请参见《Sentinel Rapid Deployment 用户指南》中的进程。

5.2.2 Sentinel 服务器与 Sentinel 客户端应用程序之间的通讯

Sentinel 控制中心 (SCC)、Sentinel 数据管理器 (SDM) 和解决方案设计器等 Sentinel 客户端应用程序默认通过 SSL 代理服务器使用 SSL 通讯。

要在 SCC、SDM 和解决方案设计器全部作为客户端应用程序在服务器上运行时启用 Sentinel 服务器与这些应用程序之间的通讯，请在 <安装目录>/configuration.xml 中指定以下信息：

<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
   <transport type="ssl">
    <ssl host="localhost" keystore="<install_directory>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
   </transport>
  </strategy>

要启用 Sentinel 服务器与通过 WebStart 运行的 SCC、SDM 和解决方案设计器之间的通讯，需按如下方式在服务器上的 <安装目录>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml 文件中定义通讯策略：

<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" >
   <transport type="ssl">
    <ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" />
   </transport>
  </strategy>

有关设置自定义服务器和客户端证书的详细信息，请参见《Sentinel Rapid Deployment 用户指南》中的进程。

5.2.3 服务器与数据库之间的通讯

服务器与数据库之间的通讯所用的协议是 JDBC 驱动程序定义的。一些驱动程序可以对数据库的通讯进行加密。

Sentinel Rapid Deployment 使用 PostgreSQL 驱动程序（在 PostgreSQL 下载页提供的 postgresql-<版本>.jdbc3.jar）连接 PostgreSQL 数据库，这是一种 Java（IV 类型）实施。此驱动程序支持数据通讯加密。要配置数据通讯加密，请参见 PostgreSQL 加密选项。

注：启用加密会影响系统的性能。因此，数据库通讯默认不会加密。但是，由于数据库与服务器之间的通讯是通过回写网络接口发生的，且不会曝露给开放网络，因此，不会造成安全问题。

5.2.4 收集器管理器与事件源之间的通讯

您可以对 Sentinel Rapid Deployment 进行适当配置，让其以安全方式从不同的事件源收集数据。不过，安全数据收集取决于事件源所支持的特定协议。例如，Check Point LEA、Syslog 和 Audit Connectors 适当配置后都可以对其与事件源之间的通讯进行加密。

有关可启用的安全功能的详细信息，请参见 Novell Sentinel 插件网站上提供的连接器和事件源供应商文档。

5.2.5 与 Web 浏览器之间的通讯

Web 服务器默认配置为通过 HTTPS 进行通讯。有关详细信息，请参见 Tomcat 文档。

5.2.6 数据库与其他客户端之间的通讯

可以使用 Sentinel 数据管理器或任何第三方应用程序（如 Pgadmin）将 PostgreSQL SIEM 数据库配置为允许来自任何客户端计算机的连接。

要允许 Sentinel 数据管理器从任何客户端计算机进行连接，请在 <安装目录>/3rdparty/postgresql/data/pg_hba.conf 文件中添加下行：

host   all         all         0.0.0.0/0             md5

如果要限制允许运行并通过 SDM 连接到数据库的客户端连接，请使用主机 IP 地址替换上面的行。pg_hba.conf 中的下行指示 PostgreSQL 接受来自本地计算机的连接，这样 Sentinel 数据管理器仅允许在服务器上运行。

host all all 127.0.0.1/32 md5

如果要限制其他客户端计算机的连接，您可以添加其他 host 条目。