一旦将进程放入全局区域之外的区域,此进程或其后续子进程便不能更改区域。
可以在区域中运行网络服务。通过在区域中运行网络服务,可限制出现安全违规时可能引起的损坏。如果入侵者成功利用了区域中运行的软件中的安全缺陷,则此入侵者只能在此区域中执行一部分可能的操作。区域中可用的特权是整个系统中可用特权的一部分。
使用区域,可以在同一计算机上部署多个应用程序,即使这些应用程序运行在不同的信任域中,需要独占访问全局资源或者全局配置出现问题也是如此。应用程序还无法监视或拦截其他应用程序的网络流量、文件系统数据或进程活动。
区域在缺省情况下配置为专用 IP 类型。在 IP 层,这些区域与全局区域隔离,并且相互隔离。出于运行和安全方面的原因而采用了这种隔离。可通过区域来合并必须使用其自己的 LAN 或 VLAN 在不同子网上通信的应用程序。每个区域还可以定义其自己的 IP 层安全规则。
区域提供了一个虚拟环境,此环境可以在应用程序中隐藏详细信息(例如物理设备、系统的主 IP 地址以及主机名)。可以在不同的物理计算机上维护同一应用程序环境。通过虚拟环境,可以单独管理每个区域。区域管理员在非全局区域中执行的操作不会影响系统的其余部分。
区域提供的隔离几乎可细化到任何程度。有关更多信息,请参见非全局区域特征。
区域不更改应用程序的执行环境,但为实现安全和隔离目标而必须更改的情况除外。区域不显示应用程序必须连接的新 API 或 ABI。相反,区域提供具有某些限制的标准 Oracle Solaris 接口和应用程序环境。这些限制主要影响尝试执行特权操作的应用程序。
无论是否配置其他区域,全局区域中的应用程序始终会运行而无需修改。