跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
随着在系统配置中越来越多地采用虚拟化,主机管理员可能对来宾虚拟机 (virtual machines, VM) 授予对某物理或虚拟链路的独占访问权限。这种配置可以将虚拟环境的网络通信流量与主机系统接收或发送的更广泛的通信流量隔离开来,从而提高网络性能。同时,这种配置会使系统和整个网络暴露于来宾环境可能生成的有害包,带来一定的风险。
链路保护旨在防止潜在的恶意来宾 VM 可能对网络造成损害。该功能提供了针对以下基本威胁的保护:
IP、DHCP 和 MAC 欺骗
L2 帧欺骗,例如网桥协议数据单元 (Bridge Protocol Data Unit, BPDU) 攻击
注 - 链路保护不能取代防火墙部署,特别是对于具有复杂的过滤要求的配置。
Oracle Solaris 中的链路保护机制提供以下保护类型:
启用针对系统 MAC 地址欺骗的保护。如果链路属于某个区域,启用 mac-nospoof 将防止该区域的所有者修改该链路的 MAC 地址。
启用针对 IP 欺骗的保护。缺省情况下,允许包含 DHCP 地址和链路本地 IPv6 地址的传出包。
您可以使用 allowed-ips 链路属性添加地址。对于 IP 地址,包的源地址必须匹配 allowed-ips 列表中的地址。对于 ARP 包,包的发送方协议地址必须位于 allowed-ips 列表中。
启用针对 DHCP 客户机欺骗的保护。缺省情况下,允许其 ID 与系统的 MAC 地址相匹配的 DHCP 包。
您可以使用 allowed-dhcp-cids 链路属性添加允许的客户机。必须按 dhcpagent(1M) 手册页中所指定的那样对 allowed-dhcp-cids 列表中的项进行格式化。
将传出包限制为 IPv4、IPv6 和 ARP。这种保护类型的目的是阻止链路生成可能有害的 L2 控制帧。
注 - 以下四种保护类型的内核统计数据会跟踪由于链路保护而被丢弃的包:mac_spoofed、dhcp_spoofed、ip_spoofed 和 restricted。要检索这些基于链路的统计数据,请参见如何查看链路保护配置和统计信息。