在为远程主机和网络设置标签之前,请先查看提供的安全模板,并确保可以访问远程主机和网络。有关说明,请参见以下内容:
查看安全模板。请参见如何查看安全模板。
确定您的站点是否需要定制安全模板。请参见确定您是否需要特定于站点的安全模板。
向可信网络添加系统和网络。请参见如何向系统的已知网络添加主机。
您可以查看安全模板列表以及每个模板的内容。此过程中显示的示例使用缺省安全模板。
# tncfg list cipso admin_low adapt netif
# tncfg -t cipso info name=cipso host_type=cipso doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
前面的 cipso 安全模板中的 127.0.0.1/32 项将此系统标识为有标签。当对等方将此系统指定给对等方的远程主机模板(host_type 为 cipso)时,这两个系统可以交换有标签包。
# tncfg -t admin_low info name=admin_low host_type=unlabeled doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
前面的 admin_low 安全模板中的 0.0.0.0/0 项允许未显式指定给安全模板的所有主机与此系统联系。这些主机均被标识为无标签。
0.0.0.0/0 项的优点在于可以找到在引导时此系统需要的所有主机(例如服务器和网关)。
0.0.0.0/0 项的缺点在于此系统网络中的所有主机都可以与此系统联系。要限制哪些主机可与此系统联系,请参见如何限定可能会在可信网络上联系的主机。
# tncfg -t adapt info name=adapt host_type=adapt doi=1 min_label=ADMIN_LOW max_label=ADMIN_HIGH host=0.0.0.0/0
adapt 模板标识 adaptive 主机,即标识无法获得缺省标签的不可信系统。相反,该主机的标签由其接收可信系统指定。此标签从接收包的 IP 接口的缺省标签派生,该接口由有标签系统的 netif 模板指定。
# tncfg -t netif info name=netif host_type=netif doi=1 def_label=ADMIN_LOW min_label=ADMIN_LOW max_label=ADMIN_HIGH host=127.0.0.1/32
netif 模板指定可信本地网络接口,而非远程主机。netif 模板的缺省标签必须等于具有专用网络接口(其 IP 地址与该模板中的主机地址匹配)的每个区域的标签。此外,与匹配区域接口对应的较低链路只能指定给共享同一标签的其他区域。
将主机和主机组添加到系统的 /etc/hosts 文件之后,系统将能够识别这些主机。只能将已知的主机添加到安全模板中。
开始之前
您是全局区域中的 root 角色。
# pfedit /etc/hosts ... 192.168.111.121 ahost
# pfedit /etc/hosts ... 192.168.111.0 111-network