在此过程中,在两个 Trusted Extensions 系统上配置 IPsec 以处理以下情况:
这两个系统分别为 enigma 和 partym,都是在多级别网络中运行的多级别 Trusted Extensions 系统。
对应用程序数据进行加密和保护,以防在网络中进行未经授权的更改。
数据的安全标签以 CALIPSO 或 CIPSO IP 选项的形式显示,供 enigma 和 partym 系统之间路径中的多级别路由器和安全设备使用。
enigma 和 partym 交换的安全标签受到保护,以免受到未经授权的更改。
开始之前
您是全局区域中的 root 角色。
按照为主机和网络设置标签中的过程操作。使用主机类型为 cipso 的模板。
有关过程,请参见在 Oracle Solaris 11.2 中确保网络安全 中的如何使用 IPsec 保护两台服务器之间的网络通信。将 IKE 用于密钥管理,如以下步骤中所述。
按照在 Oracle Solaris 11.2 中确保网络安全 中的如何使用预先共享的密钥配置 IKEv2中的过程进行操作,然后修改 ike/config 文件,如下所示:
生成的文件将类似于以下内容。突出显示标签添加项。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
使用 /etc/inet/ipsecinit.conf 文件中的 encr_auth_algs(而非 auth_algs)来处理验证。ESP 验证不包含 IP 头和 IP 选项,但验证 ESP 头后面的所有信息。
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}