跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
Trusted Extensions 支持在网络间路由通信的多种方法。您可以设置可强制实施站点安全策略所需的安全程度的路由。
例如,站点可以将本地网络以外的通信限制为单标签。该标签将应用于公用信息。诸如 UNCLASSIFIED 或 PUBLIC 等的标签可以指示公共信息。要强制实施该限制,这些站点会将连接到外部网络的网关的网络接口添加到单标签模板。有关 TCP/IP 和路由的更多详细信息,请参见以下内容:
作为路由器,Trusted Extensions 主机提供最高程度的信任。其他类型的路由器可能无法识别 Trusted Extensions 安全属性。无需管理操作,就可将包通过不提供 MAC 安全保护的路由器进行路由。
CIPSO 路由器在包的 IP 选项部分找不到正确类型的信息时会丢弃包。例如,如果 CIPSO 路由器在 IP 选项中没有找到所需的 CIPSO 选项时,或 IP 选项中的 DOI 与目标的认可不一致时,该路由器会丢弃包。
未运行 Trusted Extensions 软件的其他类型路由器可配置为传递或丢弃包含 CIPSO 选项的包。只能识别 CIPSO 的网关(如 Trusted Extensions 提供的)可以使用 CIPSO IP 选项的内容来强制执行 MAC。
为了支持可信路由,路由表进行了扩展,以包括 Trusted Extensions 安全属性。Trusted Extensions 中的路由表项中介绍了这些属性。Trusted Extensions 支持静态路由,其中管理员将手动创建路由表项。 有关详细信息,请参见 route(1M) 手册页中的 -p 选项。
路由软件尝试在路由表中找到通往目标主机的路由。未显式命名主机时,路由软件将查找主机驻留的子网所对应的项。未定义主机和子网时,主机会将包发送至缺省网关(如果定义的话)。可定义多个缺省网关,每个都会被公平对待。
在 Trusted Extensions 的此发行版中,安全管理员可手动设置路由,然后在条件变化时手动更改路由表。例如,许多站点都有一个与外界通信的网关。在这些情况中,该单一网关可静态地定义为网络上各个主机上的缺省值。
Trusted Extensions 中的路由示例如下所示。该图和表显示了主机 1 和主机 2 之间可能的三种路由。
图 15-1 典型的 Trusted Extensions 路由和路由表项
|
路由 #1 可以将位于 CONFIDENTIAL 标签范围内的包传输至 SECRET。
路由 #2 可以将包从 ADMIN_LOW 传输至 ADMIN_HIGH。
路由 #3 不指定路由信息。因此,其安全属性源自网关 5 的安全模板。
为了针对套接字显示标签和扩展的安全属性,Trusted Extensions 将修改以下 Oracle Solaris 网络命令:
netstat -rR 命令显示路由表项中的安全属性。
netstat -aR 命令显示套接字的安全属性。
route -p 命令(带有 add 或 delete 选项)更改路由表项。
有关详细信息,请参见 netstat(1M) 和 route(1M) 手册页。
要更改路由表项,Trusted Extensions 将提供以下接口:
txzonemgr GUI 可用于为接口指定缺省路由。
route -p 命令(带有 add 或 delete 选项)可用于更改路由表项。
有关示例,请参见如何添加缺省路由。