| 跳过导航链接 | |
| 退出打印视图 | |
|
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
要使用链路保护,请设置链路的 protection 属性。如果保护类型适用于其他配置文件,例如 ip-nospoof 和 allowed-ips 或 dhcp-nospoof 和 allowed-dhcp-cids,则您要执行两个常规操作。首先,启用链路保护。然后,定制配置文件来识别允许传递的其他包。
注 - 您必须在全局区域中配置链路保护。
以下任务列表列出了在 Oracle Solaris 系统上配置链路保护的过程。
|
此过程可限制传出包类型并阻止链路欺骗。
开始之前
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw -- -- mac-nospoof,
restricted,
ip-nospoof,
dhcp-nospoof# dladm set-linkprop -p protection=value[,value,...] link
在以下示例中,将在 vnic0 链路上启用所有四种链路保护类型:
# dladm set-linkprop \ -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
# dladm show-linkprop -p protection vnic0
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw mac-nospoof -- mac-nospoof,
restricted restricted,
ip-nospoof ip-nospoof,
dhcp-nospoof dhcp-nospoofVALUE 下的链路保护类型表明已启用保护。
此过程将链路保护重置为缺省值,而无链路保护。
开始之前
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm reset-linkprop -p protection link
# dladm show-linkprop -p protection vnic0
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw -- -- mac-nospoof,
restricted,
ip-nospoof,
dhcp-nospoofVALUE 下没有列出链路保护类型表明已禁用链路保护。
开始之前
已启用 ip-nospoof 保护类型,如如何启用链路保护中所示。
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection link
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
link protection rw ...
ip-nospoof ip-nospoof VALUE 下的 ip-nospoof 列表表明已启用该保护类型。
# dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link
以下示例说明如何将 IP 地址 10.0.0.1 和 10.0.0.2 添加到 vnic0 链路的 allowed-ips 属性:
# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0
有关更多信息,请参见 dladm(1M) 手册页。
开始之前
已启用 dhcp-nospoof 保护类型,如如何启用链路保护中所示。
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection link
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
link protection rw ...
dhcp-nospoof dhcp-nospoof VALUE 下的 dhcp-nospoof 列表表明已启用该保护类型。
# dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link
以下示例说明如何指定字符串 hello 作为 vnic0 链路的 allowed-dhcp-cids 属性值:
# dladm set-linkprop -p allowed-dhcp-cids=hello vnic0
有关更多信息,请参见 dladm(1M) 手册页。
开始之前
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link
以下示例显示了 vnic0 链路的 protection、allowed-ips 和 allowed-dhcp-cids 属性的值:
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw mac-nospoof -- mac-nospoof,
restricted restricted,
ip-nospoof ip-nospoof,
dhcp-nospoof dhcp-nospoof
vnic0 allowed-ips rw 10.0.0.1, -- --
10.0.0.2
vnic0 allowed-dhcp-cids rw hello -- --
注 - 仅当启用 ip-nospoof 时才使用 allowed-ips 属性,其列在 VALUE 下。仅当启用 dhcp-nospoof 时才使用 allowed-dhcp-cids 属性。
已提交 dlstat 命令输出,因此该命令适用于脚本。
# dlstat -A
...
vnic0
mac_misc_stat
multircv 0
brdcstrcv 0
multixmt 0
brdcstxmt 0
multircvbytes 0
bcstrcvbytes 0
multixmtbytes 0
bcstxmtbytes 0
txerrors 0
macspoofed 0 <----------
ipspoofed 0 <----------
dhcpspoofed 0 <----------
restricted 0 <----------
ipackets 3
rbytes 182
...该输出表明没有受欺骗或受限制的包已尝试通过。
可使用 kstat 命令,但其输出尚未提交。例如,以下命令可找到 dhcpspoofed 统计数据:
# kstat vnic0:0:link:dhcpspoofed
module: vnic0 instance: 0
name: link class: vnic
dhcpspoofed 0 有关更多信息,请参见 dlstat(1M) 和 kstat(1M) 手册页。
|