원격 호스트 및 네트워크에 레이블을 지정하기 전에 제공된 보안 템플리트를 검토하고 원격 호스트 및 네트워크에 연결할 수 있는지 확인합니다. 지침은 다음을 참조하십시오.
보안 템플리트를 확인합니다. 보안 템플리트를 보는 방법을 참조하십시오.
사이트에 사용자 정의된 보안 템플리트가 필요한지 여부를 확인합니다. 사이트별 보안 템플리트가 필요한지 여부 확인을 참조하십시오.
신뢰할 수 있는 네트워크에 시스템과 네트워크를 추가합니다. 시스템의 알려진 네트워크에 호스트를 추가하는 방법을 참조하십시오.
보안 템플리트의 목록 및 각 템플리트의 컨텐츠를 볼 수 있습니다. 이 절차에 표시된 예제에는 기본 보안 템플리트가 사용됩니다.
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
위의 cipso 보안 템플리트에 있는 127.0.0.1/32 항목은 이 시스템을 레이블이 있는 시스템으로 식별합니다. 피어가 cipso의 host_type을 사용하여 이 시스템을 피어의 원격 호스트 템플리트에 지정하면 두 시스템은 레이블이 있는 패킷을 교환할 수 있습니다.
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
위의 admin_low 보안 템플리트에 있는 0.0.0.0/0 항목은 보안 템플리트에 명시적으로 지정되지 않은 모든 호스트가 이 시스템에 연결할 수 있도록 합니다. 이러한 호스트는 레이블이 없는 호스트로 인식됩니다.
0.0.0.0/0 항목의 장점은 이 시스템이 부트 시 필요한 모든 호스트(서버 및 게이트웨이 등)를 찾을 수 있다는 점입니다.
0.0.0.0/0 항목의 단점은 이 시스템의 네트워크에 있는 모든 호스트가 이 시스템에 연결할 수 있다는 점입니다. 이 시스템에 연결할 수 있는 호스트를 제한하려면 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
adapt 템플리트는 adaptive 호스트 즉, 기본 레이블을 가질 수 없는 신뢰할 수 없는 시스템을 식별합니다. 대신 이 시스템의 레이블은 수신하는 신뢰할 수 있는 시스템에서 지정합니다. 이 레이블은 레이블이 있는 시스템의 netif 템플리트에 지정된 패킷을 수신하는 IP 인터페이스의 기본 레이블에서 파생됩니다.
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
netif 템플리트는 원격 호스트가 아니라 신뢰할 수 있는 로컬 네트워크 인터페이스를 지정합니다. netif 템플리트의 기본 레이블은 IP 주소가 해당 템플리트의 호스트 주소와 일치하는 전용 네트워크 인터페이스가 있는 모든 영역의 레이블과 동일해야 합니다. 또한 일치하는 영역 인터페이스에 해당하는 하위 링크는 동일한 레이블을 공유하는 다른 영역에만 지정할 수 있습니다.
호스트 및 호스트 그룹을 시스템의 /etc/hosts 파일에 추가하면 호스트가 시스템에 알려집니다. 알려진 호스트만 보안 템플리트에 추가할 수 있습니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network