在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

使用 IPsec 保护网络通信

使用本节中的过程可以保护两个系统之间的通信以及保护 Web 服务器。要保护 VPN,请参见使用 IPsec 保护 VPN。有关管理 IPsec 以及将 SMF 命令与 IPsec 和 IKE 结合使用的其他过程,请参见其他 IPsec 任务

    以下信息适用于所有的 IPsec 配置任务:

  • IPsec 和区域-每个系统要么为全局区域,要么为专用 IP 区域。有关更多信息,请参见IPsec 和 Oracle Solaris 区域

  • IPsec 和 FIPS 140 模式-IPsec 管理员需要负责选择 Oracle Solaris 通过 FIPS 140 验证的算法。本章中的操作过程和示例均使用 FIPS 140 认可的算法,除非明确指定 any 算法。

  • IPsec 和 RBAC-要使用角色来管理 IPsec,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的第 3  章 在 Oracle Solaris 中指定权限。有关示例,请参见如何配置网络安全角色

  • IPsec 和 SCTP-可以使用 IPsec 来保护流控制传输协议 (Streams Control Transmission Protocol, SCTP) 关联,但使用时必须谨慎。有关更多信息,请参见IPsec 和 SCTP

  • IPsec 和 Trusted Extensions 标签-在配置有 Oracle Solaris 的 Trusted Extensions 功能的系统上,可以为 IPsec 包添加标签。有关更多信息,请参见Trusted Extensions 配置和管理 中的有标签 IPsec 的管理

  • IPv4 和 IPv6 地址-本指南中的 IPsec 示例使用 IPv4 地址。Oracle Solaris 还支持 IPv6 地址。要为 IPv6 网络配置 IPsec,请将示例中的地址替换为对应的 IPv6 地址。使用 IPsec 保护隧道时,您可以对内部地址和外部地址混用 IPv4 和 IPv6 地址。例如,通过此类配置,可以在 IPv4 网络上以隧道方式传输 IPv6 数据。

以下任务列表列出了在一个或多个系统之间设置 IPsec 的过程。ipsecconf(1M)ipseckey(1M)ipadm(1M) 手册页也在各自的 "Examples"(示例)部分介绍了有用的过程。

表 7-1  使用 IPsec 保护网络通信任务列表
任务
说明
参考
保证两个系统之间的通信安全。
确保系统间传送的包的安全。
使用 IPsec 策略保证 Web 服务器的安全。
要求非 Web 通信使用 IPsec。Web 客户机由特定端口识别,这些端口将绕过 IPsec 检查。
使用 IKE 为 IPsec SA 自动创建加密材料。
推荐的创建 IPsec SA 的方法。
设置安全的虚拟专用网络 (virtual private network, VPN)。
在 Internet 中的两个系统之间设置 IPsec。
设置手动密钥管理。
在不使用 IKE 的情况下为 IPsec SA 提供原始数据。