跳过导航链接 | |
退出打印视图 | |
![]() |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
要使用链路保护,请设置链路的 protection 属性。如果保护类型适用于其他配置文件,例如 ip-nospoof 和 allowed-ips 或 dhcp-nospoof 和 allowed-dhcp-cids,则您要执行两个常规操作。首先,启用链路保护。然后,定制配置文件来识别允许传递的其他包。
注 - 您必须在全局区域中配置链路保护。
以下任务列表列出了在 Oracle Solaris 系统上配置链路保护的过程。
|
此过程可限制传出包类型并阻止链路欺骗。
开始之前
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
# dladm set-linkprop -p protection=value[,value,...] link
在以下示例中,将在 vnic0 链路上启用所有四种链路保护类型:
# dladm set-linkprop \ -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof
VALUE 下的链路保护类型表明已启用保护。
此过程将链路保护重置为缺省值,而无链路保护。
开始之前
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm reset-linkprop -p protection link
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
VALUE 下没有列出链路保护类型表明已禁用链路保护。
开始之前
已启用 ip-nospoof 保护类型,如如何启用链路保护中所示。
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... ip-nospoof ip-nospoof
VALUE 下的 ip-nospoof 列表表明已启用该保护类型。
# dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link
以下示例说明如何将 IP 地址 10.0.0.1 和 10.0.0.2 添加到 vnic0 链路的 allowed-ips 属性:
# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0
有关更多信息,请参见 dladm(1M) 手册页。
开始之前
已启用 dhcp-nospoof 保护类型,如如何启用链路保护中所示。
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... dhcp-nospoof dhcp-nospoof
VALUE 下的 dhcp-nospoof 列表表明已启用该保护类型。
# dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link
以下示例说明如何指定字符串 hello 作为 vnic0 链路的 allowed-dhcp-cids 属性值:
# dladm set-linkprop -p allowed-dhcp-cids=hello vnic0
有关更多信息,请参见 dladm(1M) 手册页。
开始之前
您必须成为分配有 "Network Link Security"(网络链路安全)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link
以下示例显示了 vnic0 链路的 protection、allowed-ips 和 allowed-dhcp-cids 属性的值:
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof vnic0 allowed-ips rw 10.0.0.1, -- -- 10.0.0.2 vnic0 allowed-dhcp-cids rw hello -- --
注 - 仅当启用 ip-nospoof 时才使用 allowed-ips 属性,其列在 VALUE 下。仅当启用 dhcp-nospoof 时才使用 allowed-dhcp-cids 属性。
已提交 dlstat 命令输出,因此该命令适用于脚本。
# dlstat -A ... vnic0 mac_misc_stat multircv 0 brdcstrcv 0 multixmt 0 brdcstxmt 0 multircvbytes 0 bcstrcvbytes 0 multixmtbytes 0 bcstxmtbytes 0 txerrors 0 macspoofed 0 <---------- ipspoofed 0 <---------- dhcpspoofed 0 <---------- restricted 0 <---------- ipackets 3 rbytes 182 ...
该输出表明没有受欺骗或受限制的包已尝试通过。
可使用 kstat 命令,但其输出尚未提交。例如,以下命令可找到 dhcpspoofed 统计数据:
# kstat vnic0:0:link:dhcpspoofed module: vnic0 instance: 0 name: link class: vnic dhcpspoofed 0
有关更多信息,请参见 dlstat(1M) 和 kstat(1M) 手册页。