WAN Boot 支援的安全配置 (簡介)

WAN Boot 支援各種安全層級。您可以結合使用在 WAN Boot 中受支援的安全功能，以滿足網路的需要。更安全的配置雖然需要更多的管理，但是也會顯著增加系統資料的安全性。對於高重要性的系統，或是想要安裝於公開網路上的系統，您可以選擇安全 WAN Boot 安裝配置中的配置。對於重要性較低的系統，或是位於半公開網路上的系統，則可以考慮使用不安全 WAN Boot 安裝配置中所述的配置。

本節簡要說明可以用來設定 WAN Boot 安裝之安全層級的各種配置。同時還會對這些配置所需的安全機制進行說明。

安全 WAN Boot 安裝配置

此配置可保護伺服器與用戶端之間所交換資料的完整性，並可協助保持交換內容的機密性。此配置使用 HTTPS 連接，並使用 3DES 或 AES 演算法對用戶端配置檔案進行加密。此配置還要求伺服器在安裝期間向用戶端進行自我驗證。安全的 WAN Boot 安裝需要以下安全功能：

• 在 WAN Boot 伺服器與安裝伺服器上啟用 HTTPS

• WAN Boot 伺服器與用戶端上具有 HMAC SHA1 雜湊金鑰

• 具有用於 WAN Boot 伺服器與用戶端的 3DES 或 AES 加密金鑰

• 憑證管理中心具有用於 WAN Boot 伺服器的數位憑證

如果還想要求在安裝期間進行用戶端驗證，則還必須使用以下安全功能：

• 具有用於 WAN Boot 伺服器的私密金鑰

• 用戶端的數位憑證

如需需要使用此配置進行安裝的作業清單，請參閱表 12-1。

不安全 WAN Boot 安裝配置

此安全配置所需的管理工作最少，但是當資料從 Web 伺服器傳輸至用戶端時，相應的安全性也最低。您不需要建立雜湊金鑰、加密金鑰或數位憑證，也不需要將您的 Web 伺服器配置為可使用 HTTPS。但是，此配置會透過 HTTP 連接傳輸安裝資料與檔案，這樣極易使安裝在網路上被攔截。

如果要讓用戶端檢查所傳輸資料的完整性，您可以在此配置中使用 HMAC SHA1 雜湊金鑰。但是，雜湊金鑰不保護 Solaris Flash 歸檔。在安裝期間，歸檔會在伺服器與用戶端之間進行不安全的傳輸。

如需需要使用此配置進行安裝的作業清單，請參閱表 12-2。