Trusted Extensions 中的路由管理

请告诉我们如何提高我们的文档：

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。您是否愿意参与我们的内容改进并提供进一步的意见？

Trusted Extensions 支持在网络间路由通信的多种方法。您可以设置可强制实施站点安全策略所需的安全程度的路由。

例如，站点可以将本地网络以外的通信限制为单标签。该标签将应用于公用信息。诸如 UNCLASSIFIED（未分类）或 PUBLIC（公共）等的标签可以指示公共信息。要强制实施该限制，这些站点会将连接到外部网络的网关的网络接口添加到单标签模板。有关 TCP/IP 和路由的更多详细信息，请参见以下内容：

在 Trusted Extensions 中选择路由器

作为路由器，Trusted Extensions 主机提供最高程度的信任。其他类型的路由器可能无法识别 Trusted Extensions 安全属性。无需管理操作，就可将包通过不提供 MAC 安全保护的路由器进行路由。

有标签路由器在包的 IP 选项部分找不到正确类型的信息时会丢弃包。例如，如果有标签路由器在 IP 选项中没有找到所需的有标签选项，或 IP 选项中的 DOI 与目标的认可不一致，该路由器会丢弃包。
未运行 Trusted Extensions 软件的其他类型路由器可配置为传递包或丢弃包含有标签选项的包。只有可识别标签的网关（如 Trusted Extensions）可以使用 CALIPSO 或 CIPSO IP 选项的内容来强制执行 MAC。

为了支持可信路由，路由表进行了扩展，以包括 Trusted Extensions 安全属性。Trusted Extensions 中的路由表项中介绍了这些属性。Trusted Extensions 支持静态路由，其中管理员将手动创建路由表项。有关详细信息，请参见 route(1M) 手册页中的 -p 选项。

路由软件尝试在路由表中找到通往目标主机的路由。未显式命名主机时，路由软件将查找主机驻留的子网所对应的项。未定义主机和子网时，主机会将包发送至缺省网关（如果定义的话）。可定义多个缺省网关，每个都会被公平对待。

在 Trusted Extensions 的此发行版中，安全管理员可手动设置路由，然后在条件变化时手动更改路由表。例如，许多站点都有一个与外界通信的网关。在这些情况中，该单一网关可静态地定义为网络上各个主机上的缺省值。

Trusted Extensions 中的网关

Trusted Extensions 中的路由示例如下所示。该图和表显示了主机 1 和主机 2 之间可能的三种路由。

图 15-1 典型的 Trusted Extensions 路由和路由表项

路由	第一中继站网关	最小标签	最大标签	DOI
#1	网关 1	`CONFIDENTIAL`	`SECRET`	1
#2	网关 3	`ADMIN_LOW`	`ADMIN_HIGH`	1
#3	网关 5

路由 #1 可以将位于 CONFIDENTIAL 标签范围内的包传输至 SECRET。
路由 #2 可以将包从 ADMIN_LOW 传输至 ADMIN_HIGH。
路由 #3 不指定路由信息。因此，其安全属性源自网关 5 的安全模板。

Trusted Extensions 中的路由命令

为了针对套接字显示标签和扩展的安全属性，Trusted Extensions 将修改以下 Oracle Solaris 网络命令：

netstat -rR 命令显示路由表项中的安全属性。
netstat -aR 命令显示套接字的安全属性。
route -p 命令（带有 add 或 delete 选项）更改路由表项。

有关详细信息，请参见 netstat(1M) 和 route(1M) 手册页。

要更改路由表项，Trusted Extensions 将提供以下接口：

txzonemgr GUI 可用于为接口指定缺省路由。
route -p 命令（带有 add 或 delete 选项）可用于更改路由表项。

有关示例，请参见如何添加缺省路由。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文)