Go to main content

Oracle SuperCluster M7 系列安全指南

退出打印视图

更新时间: 2016 年 2 月
 
 

在全局区域中启用数据链路(欺骗)保护

Oracle Solaris 数据链路保护可防止恶意来宾 VM 可能会对网络造成的潜在损害。

启用防窥探配置可以将虚拟环境的网络通信流量与主机系统接收或发送的更广泛的通信流量隔离开来,从而提高网络性能。链路保护可防止潜在恶意来宾 VM 可能会对网络造成的损害。该功能提供了针对以下基本威胁的保护:

  • IP 和 MAC 欺骗

  • L2 帧欺骗,例如网桥协议数据单元 (Bridge Protocol Data Unit, BPDU) 攻击

  1. 登录到某一台计算服务器并以超级用户身份访问主机控制台。

    请参见登录到计算服务器并更改默认密码

  2. 设置链路保护。 
    # dladm set-linkprop -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof net0
  3. 确认配置。 
    # dladm show-linkprop -p protection net0
LINK         PROPERTY     PERM     VALUE         EFFECTIVE         DEFAULT     POSSIBLE
net0         protection     rw     mac-nospoof   mac-nospoof        --         mac-nospoof,
                                   restricted    restricted         --         restricted,
                                   ip-nospoof    ip-nospoof         --         ip-nospoof,    
                                   dhcp-nospoof  dhcp-nospoof       --         dhcp-nospoof
  4. 设置链路上允许的 IP。 
    # dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 net0
版权所有 © 2016, Oracle 和/或其附属公司。 保留所有权利。 
上一页
下一页