跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
ipsecinit.conf 和 ipsecconf 的安全注意事项
20. Oracle Solaris 中的 IP 过滤器(概述)
Oracle Solaris 的加密框架功能为 IPsec 提供验证和加密算法。ipsecalgs 命令可以列出每个 IPsec 协议支持的算法。ipsecalgs 配置存储在 /etc/inet/ipsecalgs 文件中。通常,不需要修改此文件。但是,如果需要修改此文件,请使用 ipsecalgs 命令。决不能直接编辑此文件。系统引导时会通过 svc:/network/ipsec/ipsecalgs:default 服务使支持的算法与内核同步。
有效的 IPsec 协议和算法由 RFC 2407 中介绍的 ISAKMP domain of interpretation, DOI(系统解释域)进行说明。通常,DOI(解释域)定义数据格式、网络通信交换类型,以及命名安全相关信息的约定。安全策略、加密算法和加密模式都属于安全相关信息。
具体而言,ISAKMP DOI 为有效的 IPsec 算法及其协议(PROTO_IPSEC_AH 和 PROTO_IPSEC_ESP)定义命名约定和编号约定。每个算法都仅与一项协议相关联。这些 ISAKMP DOI 定义位于 /etc/inet/ipsecalgs 文件中。算法和协议编号由 Internet 编号分配机构 (Internet Assigned Numbers Authority, IANA) 定义。使用 ipsecalgs 命令,可以针对 IPsec 扩展算法列表。
有关算法的更多信息,请参阅 ipsecalgs(1M) 手册页。有关加密框架的更多信息,请参见《Oracle Solaris 管理:安全服务》中的第 11 章 "加密框架(概述)"。