JavaScript is required to for searching.
跳过导航链接
退出打印视图
Trusted Extensions 配置和管理     Oracle Solaris 11.1 Information Library (简体中文)
为本文档评分
search filter icon
search icon

文档信息

前言

第 1 部分Trusted Extensions 的初始配置

1.  Trusted Extensions 的安全规划

2.  Trusted Extensions 的配置任务列表

3.  将 Trusted Extensions 功能添加到 Oracle Solaris(任务)

4.  配置 Trusted Extensions(任务)

5.  为 Trusted Extensions 配置 LDAP(任务)

第 2 部分Trusted Extensions 的管理

6.  Trusted Extensions 管理概念

7.  Trusted Extensions 管理工具

8.  Trusted Extensions 系统上的安全要求(概述)

9.  执行 Trusted Extensions 中的常见任务

10.  Trusted Extensions 中的用户、权限和角色(概述)

11.  在 Trusted Extensions 中管理用户、权限和角色(任务)

12.  Trusted Extensions 中的远程管理(任务)

13.  在 Trusted Extensions 中管理区域

14.  在 Trusted Extensions 中管理和挂载文件

15.  可信网络(概述)

16.  在 Trusted Extensions 中管理网络(任务)

为主机和网络设置标签(任务)

查看现有安全模板(任务)

如何查看安全模板

如何确定是否需要站点专用安全模板

如何向系统的已知网络添加主机

创建安全模板(任务)

如何创建安全模板

将主机添加到安全模板(任务)

如何将主机添加到安全模板

如何将一系列主机添加到安全模板

限制可以访问可信网络的主机(任务)

如何限定可能会在可信网络上联系的主机

配置路由和多级别端口(任务)

如何添加缺省路由

如何为区域创建多级别端口

配置有标签 IPsec(任务列表)

如何在多级别 Trusted Extensions 网络中应用 IPsec 保护

如何通过不可信网络配置隧道

可信网络故障排除(任务列表)

如何检验系统的接口是否已启动

如何调试 Trusted Extensions 网络

如何调试客户机与 LDAP 服务器的连接

17.  Trusted Extensions 和 LDAP(概述)

18.  Trusted Extensions 中的多级别邮件(概述)

19.  管理有标签打印(任务)

20.  Trusted Extensions 中的设备(概述)

21.  管理 Trusted Extensions 的设备(任务)

22.  Trusted Extensions 审计(概述)

23.  Trusted Extensions 中的软件管理

A.  站点安全策略

创建和管理安全策略

站点安全策略和 Trusted Extensions

计算机安全建议

物理安全建议

人员安全建议

常见安全违规

其他安全参考信息

B.  Trusted Extensions 的配置核对表

用于配置 Trusted Extensions 的核对表

C.  Trusted Extensions 管理快速参考

Trusted Extensions 中的管理接口

由 Trusted Extensions 扩展的 Oracle Solaris 接口

Trusted Extensions 中更为严厉的安全缺省值

Trusted Extensions 中的受限选项

D.  Trusted Extensions 手册页列表

按字母顺序排列的 Trusted Extensions 手册页

Trusted Extensions 修改的 Oracle Solaris 手册页

词汇表

索引

请告诉我们如何提高我们的文档:
过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
其他
Your rating has been updated
感谢您的反馈!

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见?

配置有标签 IPsec(任务列表)

以下任务列表介绍了用于将标签添加到 IPsec 保护中的任务。

任务
说明
参考
结合使用 Trusted Extensions 和 IPsec。
将标签添加到 IPsec 保护。
通过不可信网络结合使用 Trusted Extensions 和 IPsec。
通过无标签网络传送有标签 IPsec 包。

如何在多级别 Trusted Extensions 网络中应用 IPsec 保护

在此过程中,在两个 Trusted Extensions 系统上配置 IPsec 以处理以下情况:

开始之前

您是全局区域中的 root 角色。

  1. enigmapartym 主机添加到 cipso 安全模板中。

    按照为主机和网络设置标签(任务)中的过程进行操作。使用主机类型为 cipso 的模板。

  2. enigmapartym 系统配置 IPsec。

    有关过程,请参见《在 Oracle Solaris 11.1 中保护网络安全》中的"如何使用 IPsec 保证两个系统之间的通信安全"。将 IKE 用于密钥管理,如以下步骤中所述。

  3. 将标签添加到 IKE 协商。

    按照《在 Oracle Solaris 11.1 中保护网络安全》中的"如何使用预先共享的密钥配置 IKE"中的过程进行操作,然后修改 ike/config 文件,如下所示:

    1. 将关键字 label_awaremulti_labelwire_label inner 添加到 enigma 系统的 /etc/inet/ike/config 文件中。

      生成的文件将类似于以下内容。突出显示标签添加项。

          ### ike/config file on enigma, 192.168.116.16
          ## Global parameters
          #
      ## Use IKE to exchange security labels.
          label_aware
        #
              ## Defaults that individual rules can override.
          p1_xform
                { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
          p2_pfs 2
          #
        ## The rule to communicate with partym
            # Label must be unique
          { label "enigma-partym"
                local_addr 192.168.116.16
                remote_addr 192.168.13.213
                multi_label
                wire_label inner
                p1_xform
                 { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
                p2_pfs 5
          }
    2. 将相同关键字添加到 partym 系统的 ike/config 文件中。
          ### ike/config file on partym, 192.168.13.213
          ## Global Parameters
          #
      ## Use IKE to exchange security labels.
          label_aware
          #
              p1_xform
                { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
          p2_pfs 2
          ## The rule to communicate with enigma
          # Label must be unique
          { label "partym-enigma"
                local_addr 192.168.13.213
                remote_addr 192.168.116.16
                multi_label
                wire_label inner
          p1_xform
                 { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
              p2_pfs 5
          }
  4. 如果在网络中无法使用 CALIPSO 或 CIPSO IP 选项的 AH 保护,请使用 ESP 验证。

    使用 /etc/inet/ipsecinit.conf 文件中的 encr_auth_algs(而非 auth_algs)来处理验证。ESP 验证不包含 IP 头和 IP 选项,但验证 ESP 头后面的所有信息。

    {laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}

    注 - 您也可以将标签添加到受证书保护的系统中。公钥证书在 Trusted Extensions 系统的全局区域中进行管理。完成《在 Oracle Solaris 11.1 中保护网络安全》中的"使用公钥证书配置 IKE"中的过程后按同样的方式修改 ike/config 文件。


如何通过不可信网络配置隧道

此过程在两个 Trusted Extensions VPN 网关系统之间通过公共网络配置 IPsec 隧道。此过程中使用的示例基于《在 Oracle Solaris 11.1 中保护网络安全》中的"用于保护 VPN 的 IPsec 任务的网络拓扑说明"中说明的配置。

假设对此说明进行以下修改:

开始之前

您是全局区域中的 root 角色。

  1. 按照为主机和网络设置标签(任务)中的过程进行操作来定义以下内容:
    1. 10.0.0.0/8 IP 地址添加到有标签安全模板中。

      使用主机类型为 cipso 的模板。保留缺省标签范围(ADMIN_LOWADMIN_HIGH)。

    2. 192.168.0.0/16 IP 地址添加到标签 PUBLIC 下的无标签安全模板中。

      使用无标签主机类型的模板。将缺省标签设置为 PUBLIC。保留缺省标签范围(ADMIN_LOWADMIN_HIGH)。

    3. Calif-vpnEuro-vpn 的面向 Internet 的地址 192.168.13.213192.168.116.16 添加到 cipso 模板中。

      保留缺省标签范围。

  2. 创建 IPsec 隧道。

    按照《在 Oracle Solaris 11.1 中保护网络安全》中的"如何在隧道模式下使用 IPsec 保护 VPN"中的过程进行操作。将 IKE 用于密钥管理,如以下步骤中所述。

  3. 将标签添加到 IKE 协商。

    按照《在 Oracle Solaris 11.1 中保护网络安全》中的"如何使用预先共享的密钥配置 IKE"中的过程进行操作,然后修改 ike/config 文件,如下所示:

    1. 将关键字 label_awaremulti_labelwire_label none PUBLIC 添加到 euro-vpn 系统的 /etc/inet/ike/config 文件中。

      生成的文件将类似于以下内容。突出显示标签添加项。

              ### ike/config file on euro-vpn, 192.168.116.16
          ## Global parameters
          #
      ## Use IKE to exchange security labels.
          label_aware
          #
              ## Defaults that individual rules can override.
          p1_xform
                { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
          p2_pfs 2
          #
         ## The rule to communicate with calif-vpn
             # Label must be unique
          { label "eurovpn-califvpn"
                local_addr 192.168.116.16
                remote_addr 192.168.13.213
                multi_label
                wire_label none PUBLIC
                p1_xform
                 { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
                p2_pfs 5
              }
    2. 将相同关键字添加到 calif-vpn 系统的 ike/config 文件中。
          ### ike/config file on calif-vpn, 192.168.13.213
          ## Global Parameters
          #
      ## Use IKE to exchange security labels.
          label_aware
          #
              p1_xform
                { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
          p2_pfs 2
          ## The rule to communicate with euro-vpn
          # Label must be unique
          { label "califvpn-eurovpn"
                local_addr 192.168.13.213
                remote_addr 192.168.116.16
                multi_label
                wire_label none PUBLIC
          p1_xform
                 { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
              p2_pfs 5
          }

    注 - 您也可以将标签添加到受证书保护的系统中。完成《在 Oracle Solaris 11.1 中保护网络安全》中的"使用公钥证书配置 IKE"中的过程后按同样的方式修改 ike/config 文件。