跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
ipsecinit.conf 和 ipsecconf 的安全注意事项
20. Oracle Solaris 中的 IP 过滤器(概述)
您可以使用 ipsecconf 命令为主机配置 IPsec 策略。当运行此命令来配置策略时,系统会在内核中创建 IPsec 策略项。系统使用这些项来检查所有传入和外发 IP 数据报的策略。转发的数据报不受使用此命令添加的策略检查的约束。ipsecconf 命令也可配置安全策略数据库 (security policy database, SPD)。有关 IPsec 策略选项,请参见 ipsecconf(1M) 手册页。
您必须承担 root 角色才能调用 ipsecconf 命令。此命令接受保护双向通信的项,同时也接受仅保护单向通信的项。
具有本地地址和远程地址格式的策略项可以借助单个策略项保护双向通信。例如,如果没有为指定的主机指定方向,则包含模式 laddr host1 和 raddr host2 的项会保护双向通信。因此,对于每台主机,只需一个策略项。
由 ipsecconf 命令添加的策略项在系统重新引导后不会保留。要确保在系统引导时 IPsec 策略处于活动状态,请向 /etc/inet/ipsecinit.conf 文件中添加相应策略项,然后刷新或启用 policy 服务。例如,请参见使用 IPsec 保护通信。