跳过导航链接 | |
退出打印视图 | |
Oracle Solaris Trusted Extensions 管理员规程 Oracle Solaris 10 8/11 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
Trusted Extensions 支持在网络间路由通信的多种方法。在安全管理员角色中,可以设置路由以强制执行站点安全策略要求的安全程度。
例如,站点可以将本地网络以外的通信限制为单标签。该标签将应用于公用信息。诸如 UNCLASSIFIED 或 PUBLIC 等的标签可以指示公共信息。为了强制执行该限制,这些站点会向连接至外部网络的网络接口指定单标签模板。有关 TCP/IP 和路由的更多详细信息,请参见以下内容:
《System Administration Guide: IP Services》中的"Planning for Routers on Your Network"
《System Administration Guide: IP Services》中的"Configuring Systems on the Local Network"
《System Administration Guide: IP Services》中的"Major TCP/IP Administrative Tasks (Task Map)"
作为路由器,Trusted Extensions 主机提供最高程度的信任。其他类型的路由器可能无法识别 Trusted Extensions 安全属性。无需管理操作,就可将包通过不提供 MAC 安全保护的路由器进行路由。
CIPSO 路由器在包的 IP 选项部分找不到正确类型的信息时会丢弃包。例如,如果 CIPSO 路由器在 IP 选项中没有找到所需的 CIPSO 选项时,或 IP 选项中的 DOI 与目标的认可不一致时,该路由器会丢弃包。
未运行 Trusted Extensions 软件的其他类型路由器可配置为传递或丢弃包含 CIPSO 选项的包。只能识别 CIPSO 的网关(如 Trusted Extensions 提供的)可以使用 CIPSO IP 选项的内容来强制执行 MAC。
为了支持可信路由,Solaris 10 路由表进行了扩展,以包括 Trusted Extensions 安全属性。Trusted Extensions 中的路由表项中介绍了这些属性。Trusted Extensions 支持静态路由,其中管理员将手动创建路由表项。 有关详细信息,请参见 route(1M) 手册页中的 -p 选项。
路由软件尝试在路由表中找到通往目标主机的路由。未显式命名主机时,路由软件将查找主机驻留的子网的条目。未定义主机或主机驻留的网络时,主机会将包发送至缺省网关(如果定义的话)。可定义多个缺省网关,每个都会被公平对待。
在 Trusted Extensions 的此发行版中,安全管理员可手动设置路由,然后在条件变化时手动更改路由表。例如,许多站点都有一个与外界通信的网关。在这些情况中,该单一网关可静态地定义为网络上各个主机上的缺省值。Trusted Extensions 的未来发行版中可能会包含动态路由支持。
Trusted Extensions 中的路由示例如下所示。该图和表显示了主机 1 和主机 2 之间可能的三种路由。
图 12-1 典型的 Trusted Extensions 路由和路由表项
|
路由 #1 可以将位于 CONFIDENTIAL 标签范围内的包传输至 SECRET。
路由 #2 可以将包从 ADMIN_LOW 传输至 ADMIN_HIGH。
路由 #3 不指定路由信息。因此,其安全属性源自网关 5 的 tnrhtp 数据库中的模板。
为了针对套接字显示标签和扩展的安全属性,Trusted Extensions 将修改以下 Oracle Solaris 网络命令:
netstat -rR 命令显示路由表项中的安全属性。
netstat -aR 命令显示套接字的安全属性。
route -p 命令(带有 add 或 delete 选项)更改路由表项。
有关详细信息,请参见 netstat(1M) 和 route(1M) 手册页。
有关示例,请参见如何配置具有安全属性的路由。