JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネットワークのセキュリティー保護     Oracle Solaris 11.1 Information Library (日本語)
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

1.  仮想化環境でのリンク保護の使用

リンク保護の概要

リンク保護のタイプ

リンク保護の構成 (タスクマップ)

リンク保護を有効にする方法

リンク保護を無効にする方法

IP なりすましに対して保護するように IP アドレスを指定する方法

DHCP なりすましから保護するように DHCP クライアントを指定する方法

リンク保護の構成と統計情報を表示する方法

2.  ネットワークのチューニング (タスク)

3.  Web サーバーと Secure Sockets Layer プロトコル

4.  Oracle Solaris の IP フィルタ (概要)

5.  IP フィルタ (タスク)

6.  IP セキュリティーアーキテクチャー (概要)

7.  IPsec の構成 (タスク)

8.  IP セキュリティーアーキテクチャー (リファレンス)

9.  インターネット鍵交換 (概要)

10.  IKE の構成 (タスク)

11.  インターネット鍵交換 (リファレンス)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

リンク保護の概要

システム構成で仮想化の導入が増えることによって、ホスト管理者は、ゲスト仮想マシン (VM) に物理リンクまたは仮想リンクへの排他的アクセス権を付与することができます。この構成では、仮想環境のネットワークトラフィックを、ホストシステムによって送受信される幅広いトラフィックから分離できるため、ネットワークパフォーマンスが向上します。同時に、この構成はシステムとネットワーク全体をゲスト環境で生成される可能性のある有害なパケットのリスクにさらす可能性があります。

リンク保護は、潜在的に悪意のあるゲストVM がネットワークに対して引き起こす可能性のある損害を回避することを目的としています。この機能は、次の基本的な脅威から保護します。


注 - リンク保護は、特に複雑なフィルタリング要件のある構成の場合に、ファイアウォールの展開に置き換わるものではありません。


リンク保護のタイプ

Oracle Solaris でのリンク保護メカニズムは、次の保護のタイプがあります。

mac-nospoof

システムの MAC アドレスのなりすましに対する保護を有効にします。リンクがゾーンに属する場合、mac-nospoof を有効にすると、ゾーンの所有者がそのリンクの MAC アドレスを変更することを妨げます。

ip-nospoof

IP なりすましに対する保護を有効にします。デフォルトで、DHCP アドレスとリンクローカル IPv6 アドレスを含むアウトバウンドパケットが許可されます。

allowed-ips リンクプロパティーを使用して、アドレスを追加できます。IP アドレスの場合、パケットのソースアドレスは allowed-ips リスト内のアドレスに一致する必要があります。ARP パケットの場合、パケットの送信者のプロトコルアドレスが allowed-ips リスト内に存在する必要があります。

dhcp-nospoof

DHCP クライアントのなりすましに対する保護を有効にします。デフォルトでは、ID がシステムの MAC アドレスと一致している DHCP パケットを使用できます。

allowed-dhcp-cids リンクプロパティーを使用して、許可されるクライアントを追加できます。allowed-dhcp-cids リスト内のエントリは、dhcpagent(1M) のマニュアルページに指定されているとおりに書式設定されている必要があります。

restricted

送信パケットを IPv4、IPv6、および ARP に制限します。この保護のタイプは、潜在的に有害な L2 制御フレームがリンクから生成されるのを妨ぐよう設計されています。


注 - リンク保護のためにドロップされたパケットは、4 つの保護のタイプ (mac_spoofeddhcp_spoofedip_spoofedrestricted) についてのカーネル統計情報によって追跡されます。これらのリンクごとの統計情報を取得するには、「リンク保護の構成と統計情報を表示する方法」を参照してください。