跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
Trusted Extensions 支持在网络间路由通信的多种方法。您可以设置可强制实施站点安全策略所需的安全程度的路由。
例如,站点可以将本地网络以外的通信限制为单标签。该标签将应用于公用信息。诸如 UNCLASSIFIED(未分类)或 PUBLIC(公共)等的标签可以指示公共信息。要强制实施该限制,这些站点会将连接到外部网络的网关的网络接口添加到单标签模板。有关 TCP/IP 和路由的更多详细信息,请参见以下内容:
netcfg(1M) 手册页
作为路由器,Trusted Extensions 主机提供最高程度的信任。其他类型的路由器可能无法识别 Trusted Extensions 安全属性。无需管理操作,就可将包通过不提供 MAC 安全保护的路由器进行路由。
有标签路由器在包的 IP 选项部分找不到正确类型的信息时会丢弃包。例如,如果有标签路由器在 IP 选项中没有找到所需的有标签选项,或 IP 选项中的 DOI 与目标的认可不一致,该路由器会丢弃包。
未运行 Trusted Extensions 软件的其他类型路由器可配置为传递包或丢弃包含有标签选项的包。只有可识别标签的网关(如 Trusted Extensions)可以使用 CALIPSO 或 CIPSO IP 选项的内容来强制执行 MAC。
为了支持可信路由,路由表进行了扩展,以包括 Trusted Extensions 安全属性。Trusted Extensions 中的路由表项中介绍了这些属性。Trusted Extensions 支持静态路由,其中管理员将手动创建路由表项。 有关详细信息,请参见 route(1M) 手册页中的 -p 选项。
路由软件尝试在路由表中找到通往目标主机的路由。未显式命名主机时,路由软件将查找主机驻留的子网所对应的项。未定义主机和子网时,主机会将包发送至缺省网关(如果定义的话)。可定义多个缺省网关,每个都会被公平对待。
在 Trusted Extensions 的此发行版中,安全管理员可手动设置路由,然后在条件变化时手动更改路由表。例如,许多站点都有一个与外界通信的网关。在这些情况中,该单一网关可静态地定义为网络上各个主机上的缺省值。
Trusted Extensions 中的路由示例如下所示。该图和表显示了主机 1 和主机 2 之间可能的三种路由。
图 15-1 典型的 Trusted Extensions 路由和路由表项
|
路由 #1 可以将位于 CONFIDENTIAL 标签范围内的包传输至 SECRET。
路由 #2 可以将包从 ADMIN_LOW 传输至 ADMIN_HIGH。
路由 #3 不指定路由信息。因此,其安全属性源自网关 5 的安全模板。
为了针对套接字显示标签和扩展的安全属性,Trusted Extensions 将修改以下 Oracle Solaris 网络命令:
netstat -rR 命令显示路由表项中的安全属性。
netstat -aR 命令显示套接字的安全属性。
route -p 命令(带有 add 或 delete 选项)更改路由表项。
有关详细信息,请参见 netstat(1M) 和 route(1M) 手册页。
要更改路由表项,Trusted Extensions 将提供以下接口:
txzonemgr GUI 可用于为接口指定缺省路由。
route -p 命令(带有 add 或 delete 选项)可用于更改路由表项。
有关示例,请参见如何添加缺省路由。