新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
空间积分0 信誉积分422 UID阅读权限100积分3227帖子精华可用积分3230 专家积分66 在线时间1742 小时注册时间最后登录
帖子主题精华可用积分3230 专家积分66 在线时间1742 小时注册时间最后登录
论坛徽章:1
第20 章• 配置IPsec（任务） 457
在每个系统上，在两个系统之间添加一对IPsec SA。
您可以配置Internet 密钥交换(Internet Key Exchange, IKE) 来自动创建SA，也可以手动添加
注– 您应该使用IKE，除非您有充分的理由手动生成和维护密钥。IKE 密钥管理比手动密钥
管理更为安全。
 按照第497 页中的“配置IKE（任务列表）”中的配置过程之一来配置IKE。有关IKE
配置文件的语法，请参见ike.config(4) 手册页。
 如果您打算手动添加SA，请参见第474 页中的“如何手动创建IPsec 安全关联”。
重新引导每个系统。
验证是否对包进行了保护。
有关过程，请参见第479 页中的“如何检验包是否受IPsec 保护”。
在不重新引导的情况下使用IPsec 保证通信安全
以下示例介绍了如何在测试环境中实现IPsec。在生产环境中，重新引导比运行ipsecconf
命令更为安全。
选择以下选项之一，而不是在第456 页中的“如何使用IPsec 保证两个系统之间的通信安全
”的步骤6 中进行重新引导。
 如果您使用IKE 创建加密材料，请停止并随后重新启动in.iked 守护进程。
# pkill in.iked
# /usr/lib/inet/in.iked
 如果您手动添加密钥，请使用ipseckey 命令将SA添加到数据库。然后使用ipsecconf
命令激活IPsec 策略。
# ipseckey -f /etc/inet/secret/ipseckeys
# ipsecconf -a /etc/inet/ipsecinit.conf
安全注意事项－请在执行ipsecconf 命令时阅读警告。已锁定的套接字（即已使用的套接
字）提供了通向系统的不安全的后门。有关更全面的介绍，请参见第485 页中的
“ipsecinit.conf 和ipsecconf 的安全注意事项”。
458 系统管理指南：IP 服务&# 年8 月

如何使用IPsec 保证Web 服务器的安全
安全的Web 服务器允许Web 客户机与Web 服务对话。在安全的Web 服务器上，不属于Web
通信的通信必须通过安全检查。以下过程会跳过Web 通信。此外，此Web 服务器可以发出
不安全的DNS 客户机请求。所有其他通信都需要使用Blowfish 和SHA算法的ESP。
注– 您可以在全局区域中为非全局区域配置IPsec 策略。如果要为非全局区域配置IPsec，则
必须使用ipseckey 命令手动创建密钥(SA)。不能使用IKE。
在系统控制台上，承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建角色并将其指定给用户的信息，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
注– 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安
全性也会降至远程登录会话的安全性。
确定哪些服务需要跳过安全策略检查。
对于Web 服务器，这些服务包括TCP 端口80 (HTTP) 和443 (安全HTTP)。如果Web 服务器
提供DNS（域名系统）名称查找，则服务器还可能需要针对TCP（传输控制协议）和UDP
（用户数据报协议）包括端口53。
为Web 服务器策略在/etc/inet 目录中创建文件。
为此文件提供一个表明其用途的名称，例如IPsecWebInitFile。在此文件中键入以下行：
# Web traffic that web server should bypass.
{lport 80 ulp tcp dir both} bypass {}
{lport 443 ulp tcp dir both} bypass {}
# Outbound DNS lookups should also be bypassed.
{rport 53 dir both} bypass {}
# Require all other traffic to use ESP with Blowfish and SHA-1.
# Use a unique SA for outbound traffic from the port
{} permit {encr_algs blowfish encr_auth_algs sha}
{} apply {encr_algs blowfish encr_auth_algs sha sa}
第20 章• 配置IPsec（任务） 459
此配置仅允许安全通信访问系统，跳过检查的例外情况在步骤2 中进行了介绍。
将您在步骤3 中创建的文件的内容复制到/etc/inet/ipsecinit.conf 文件。
使用只读权限保护IPsecWebInitFile 文件。
# chmod 400 IPsecWebInitFile
在不重新引导的情况下保证Web 服务器的安全。
请选择以下选项之一。
 如果您使用IKE 管理密钥，请停止并重新启动in.iked 守护进程。
# pkill in.iked
# /usr/lib/inet/in.iked
 如果您手动管理密钥，请使用ipseckey 和ipsecconf 命令。
请使用IPsecWebInitFile 作为ipsecconf 命令的参数。如果您使用ipsecinit.conf 文件
作为参数，则当文件中的策略已经在系统上实现时，ipsecconf 命令会生成错误。
# ipseckey -f /etc/inet/secret/ipseckeys
# ipsecconf -a /etc/inet/IPsecWebInitFile
注意– 请在执行ipsecconf 命令时阅读警告。已锁定的套接字（即已使用的套接字）提供了
通向系统的不安全的后门。有关更全面的介绍，请参见第485 页中的“ipsecinit.conf 和
ipsecconf 的安全注意事项”。重新启动in.iked 守护进程时也要阅读该警告。
您也可以重新引导。重新引导可确保IPsec 策略在所有TCP 连接上都有效。重新引导时，
TCP 连接使用IPsec 策略文件中的策略。
（可选的）使远程系统与Web 服务器进行非Web 通信。
在远程系统的ipsecinit.conf 文件中键入以下策略。
# Communicate with web server about nonweb stuff
{saddr webserver} permit {encr_algs blowfish encr_auth_algs sha}
{saddr webserver} apply {encr_algs blowfish encr_auth_algs sha sa shared}
仅当系统的IPsec 策略匹配时，远程系统才能与Web 服务器安全地进行非Web 通信。
460 系统管理指南：IP 服务&# 年8 月

如何显示IPsec 策略
当您发出不带任何参数的ipsecconf 命令时，便可以查看在系统中配置的策略。此命令必须
从全局区域运行。
承担拥有网络安全配置文件的角色或成为超级用户。
有关如何创建拥有网络安全配置文件的角色并将该角色指定给用户的信息，请参见第481
页中的“如何创建配置网络安全的角色”。
按照IPsec 策略项的添加顺序显示这些项。
$ ipsecconf
此命令将每项显示为后面跟有一个数字的索引。
按照通信匹配的出现顺序显示IPsec 策略项。
$ ipsecconf -l

如何在IPv4 上通过IPsec 设置VPN
此过程说明了如何在组织内使用Internet 连接两个网络来设置虚拟专用网络(virtual private
network, VPN)。随后此过程还说明了如何使用IPsec 来保证该网络之间的通信安全。
此过程扩展了第456 页中的“如何使用IPsec 保证两个系统之间的通信安全”过程。除了连
接两个系统之外，还要连接两个连接到这两个系统的内联网。此过程中的系统作为网关使
注– 您可以在全局区域中为非全局区域配置IPsec 策略。如果要为非全局区域配置IPsec，则
必须使用ipseckey 命令手动创建密钥(SA)。不能使用IKE。
假设此过程具有以下设置：
 每个系统都使用IPv4 地址空间。
有关使用IPv6 地址的类似示例，请参见第468 页中的“如何在IPv6 上通过IPsec 设置
 每个系统都有两个接口。hme0 接口连接到Internet。在此示例中，Internet IP 地址以
192.168 开始。hme1 接口连接到公司的局域网(local area network, LAN)，即内联网。在此
示例中，内联网IP 地址以数字10 开始。
 每个系统都使用MD5 算法调用AH保护。MD5 算法要求128 位的密钥。
 每个系统都使用3DES 算法调用ESP 保护。3DES 算法要求192 位的密钥。
 每个系统都可以连接到能直接访问Internet 的路由器。
 每个系统都使用共享安全关联。
有关VPN 的说明，请参见第449 页中的“虚拟专用网络和IPsec”。下图介绍了此过程配置
第20 章• 配置IPsec（任务） 461
此过程使用以下配置参数。
参数欧洲加利福尼亚
系统名称enigma partym
系统内联网接口hme1 hme1
系统Internet 接口hme0 hme0
系统内联网地址，也是步骤7 中的-point 地址10.16.16.6 10.1.3.3
462 系统管理指南：IP 服务&# 年8 月
参数欧洲加利福尼亚
系统Internet 地址，也是步骤7 中的-taddr 地址192.168.116.16 192.168.13.213
Internet 路由器名称router-E router-C
Internet 路由器地址192.168.116.4 192.168.13.5
通道名称ip.tun0 ip.tun0
在其中一个系统的系统控制台上，承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建角色并将其指定给用户的信息，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
注– 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安
全性也会降至远程登录会话的安全性。
确保IP 转发和IP 动态路由功能已禁用。
# routeadm
Configuration Current Current
Option Configuration System State
--------------------------------------------------
IPv4 forwarding disabled disabled
IPv4 routing default (enabled) enabled
如果已启用转发和路由功能，您可以通过键入以下内容来禁用它们：
# routeadm -d ipv4-routing -d ipv4-forwarding
# routeadm -u
关闭IP 转发功能可阻止包通过此系统从一个网络转发到另一个网络。有关routeadm 命令的
说明，请参见routeadm(1M) 手册页。
打开IP 严格目标多宿主。
# ndd -set /dev/ip ip_strict_dst_multihoming 1
打开IP 严格目标多宿主可确保发往系统的目标地址之一的包到达正确的目标地址。
第20 章• 配置IPsec（任务） 463
当您关闭IP 转发功能并打开IP 严格目标多宿主时，流经整个系统的包会减少。启用严格目
标多宿主时，到达特定接口的包必须传送到此接口的本地IP 地址之一。所有其他包，即使
是传送到系统其他本地地址的包，均被丢弃。
禁用多数网络服务，并且可能禁用所有网络服务。
禁用网络服务可防止IP 数据包危害系统。例如，可以采用SNMP守护进程、telnet 连接或
rlogin 连接。
注–VPN路由器应该允许极少的传入请求。您需要禁用所有接受传入通信的进程。
例如，以下命令将禁用许多网络服务，同时保持一些网络服务（例如Solaris 安全Shell）处
于启用状态：
# svcadm disable network/ftp:default
# svcadm disable network/finger:default
# svcadm disable network/login:rlogin
# svcadm disable network/nfs/server:default
# svcadm disable network/rpc/rstat:default
# svcadm disable network/smtp:sendmail
# svcadm disable network/telnet:default
# svcs | grep network
online Aug_02 svc:/network/loopback:default
online Aug_09 svc:/network/ssh:default
在每个系统上，在两个系统之间添加一对SA。
请选择以下选项之一：
 将IKE 配置为管理SA的密钥。请使用第497 页中的“配置IKE（任务列表）”中的过程
之一来为VPN 配置IKE。
 如果您有充分的理由来手动管理密钥，请参见第474 页中的“如何手动创建IPsec 安全
464 系统管理指南：IP 服务&# 年8 月
在每个系统上，添加IPsec 策略。
编辑/etc/inet/ipsecinit.conf 文件来为VPN 添加IPsec 策略。要加强策略，请参见示例
a. 例如，在enigma 系统上，将以下项键入到ipsecinit.conf 文件中：
# LAN traffic can bypass IPsec.
{laddr 10.1.3.3 dir both} bypass {}
# WAN traffic uses ESP with 3DES and MD5.
{} ipsec {encr_algs 3des encr_auth_algs md5}
b. 在partym 系统上，将以下项键入到ipsecinit.conf 文件中：
# LAN traffic can bypass IPsec.
{laddr 10.1.3.3 dir both} bypass {}
# WAN traffic uses ESP with 3DES and MD5.
{} ipsec {encr_algs 3des encr_auth_algs md5}
在每个系统上，配置安全通道ip.tun0。
从IP 角度来看，通道将添加另一个物理接口。键入以下三个ifconfig 命令来创建点对点接
# ifconfig ip.tun0 plumb
# ifconfig ip.tun0 system1-point system2-point \
tsrc system1-taddr tdst system2-taddr \
encr_algs 3des encr_auth_algs md5
# ifconfig ip.tun0 router up
a. 例如，在enigma 系统上，键入以下命令：
# ifconfig ip.tun0 plumb
第20 章• 配置IPsec（任务） 465
# ifconfig ip.tun0 10.16.16.6 10.1.3.3 \
tsrc 192.168.116.16 tdst 192.168.13.213 \
encr_algs 3des encr_auth_algs md5
# ifconfig ip.tun0 router up
b. 在partym 系统上，键入以下命令：
# ifconfig ip.tun0 plumb
# ifconfig ip.tun0 10.1.3.3 10.16.16.6 \
tsrc 192.168.13.213 tdst 192.168.116.16 \
encr_algs 3des encr_auth_algs md5
# ifconfig ip.tun0 router up
传送到ifconfig 命令的IPsec 策略必须与ipsecinit.conf 文件中的IPsec 策略相同。在重新
引导时，每个系统都会读取ipsecinit.conf 文件来获取其策略。
在每个系统上，打开hme1 接口上的IP 转发功能。
# ifconfig hme1 router
IP 转发指可以转发来自其他位置的包。IP 转发也指由此接口发出的包可能源于其他位置。
要成功转发包，必须打开接收接口和传送接口的IP 转发功能。
因为hme1 接口在内联网内部，所以必须打开hme1 的IP 转发功能。因为ip.tun0 通过
Internet 连接两个系统，所以必须打开ip.tun0 的IP 转发功能。
hme0 接口已关闭其IP 转发功能以阻止外部入侵者向受保护的内联网中注入包。外部是指
Internet。
在每个系统上，确保路由协议不在内联网内通告缺省的路由。
# ifconfig hme0 private
即使hme0 关闭IP 转发功能，路由协议实现仍会通告接口。例如，in.routed 协议仍会通告
hme0 可将包转发到内联网中的其他接口。可以通过设置接口的专用标志，阻止这些通告。
466 系统管理指南：IP 服务&# 年8 月
手动添加通过hme0 实现的缺省路由。
缺省路由应该是可以直接访问Internet 的路由器。
# route add default router-on-hme0-subnet
a. 例如，在enigma 系统上，添加以下路由：
# route add default 192.168.116.4
b. 在partym 系统上，添加以下路由：
# route add default 192.168.13.5
即使hme0 接口不是内联网的一部分，hme0 也需要通过Internet 访问其同级系统。要找到
其同级系统，hme0 需要有关Internet 路由的信息。对于Internet 的其他部分来说，VPN
系统像是一台主机，而不是路由器。因此，您可以使用缺省的路由器或运行路由器搜索
协议来查找同级系统。有关更多信息，请参见route(1M) 和in.routed (1M) 手册页。
通过向/etc/hostname.ip.tun0 文件添加项，确保VPN 在重新引导系统之后启动。
system1-point system2-point tsrc system1-taddr \
tdst system2-taddr encr_algs 3des encr_auth_algs md5 router up
a. 例如，在enigma 系统上，向hostname.ip.tun0 文件添加以下项：
10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \
tdst 192.168.13.213 encr_algs 3des encr_auth_algs md5 router up
b. 在partym 系统上，向hostname.ip.tun0 文件添加以下项：
10.1.3.3 10.16.16.6 tsrc 192.168.13.213 \
tdst 192.168.116.16 encr_algs 3des encr_auth_algs md5 router up
将接口文件配置为将正确的参数传送到路由选择守护进程。
a. 在enigma 系统上，修改/etc/hostname.interface 文件。
# cat enigma hostname.hme0
10.16.16.6 private
# cat enigma hostname.hme1
192.168.116.16 router
第20 章• 配置IPsec（任务） 467
b. 在partym 系统上，修改/etc/hostname.interface 文件。
# cat partym hostname.hme0
10.1.3.3 private
# cat partym hostname.hme1
192.168.13.213 router
在每个系统上，运行路由协议。
您可能需要在启用路由之前配置路由协议。有关更多信息，请参见第228 页中的“Solaris
OS 中的路由协议”。有关过程，请参见第110 页中的“如何配置IPv4 路由器”。
# routeadm -e ipv4-routing
# routeadm -u
在LAN 中所有系统中要求IPsec 策略
在此示例中，LAN 策略不跳过IPsec。步骤6 中设置的IPsec 策略得到加强。通过此策略配
置，LAN 中的每个系统都必须激活IPsec 以便与路由器通信。
# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}
# WAN traffic uses ESP with 3DES and MD5.
{} ipsec {encr_algs 3des encr_auth_algs md5}

如何在IPv6 上通过IPsec 设置VPN
要在IPv6 网络中设置VPN，您需要执行与针对IPv4 网络执行的步骤相同的步骤。但是，命
令的语法稍有不同。有关运行特定命令的更详细的原因说明，请参见第461 页中的“如何
在IPv4 上通过IPsec 设置VPN”。IPv4 过程中还提供了一幅VPN 图。
此过程使用以下配置参数。
参数欧洲加利福尼亚
系统名称enigma partym
468 系统管理指南：IP 服务&# 年8 月
参数欧洲加利福尼亚
系统内联网接口hme1 hme1
系统Internet 接口hme0 hme0
系统内联网地址::aaaa:33::eeee:1113
系统Internet 地址2001::aaaa:01::eeee:
Internet 路由器名称router-E router-C
Internet 路由器地址2001::aaaa:0:4 2001::eeee:0:1
通道名称ip6.tun0 ip6.tun0
在其中一个系统的系统控制台上，承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建角色并将其指定给用户的信息，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
注– 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安
全性也会降至远程登录会话的安全性。
确保IP 转发和IP 动态路由功能已禁用。
# routeadm
Configuration Current Current
Option Configuration System State
--------------------------------------------------
IPv6 forwarding disabled disabled
IPv6 routing disabled disabled
如果已启用转发和路由功能，您可以通过键入以下内容来禁用它们：
# routeadm -d ipv6-forwarding -d ipv6-routing
# routeadm -u
打开IP 严格目标多宿主。
# ndd -set /dev/ip ip6_strict_dst_multihoming 1
第20 章• 配置IPsec（任务） 469
禁用多数网络服务，也可能会禁用所有网络服务。
例如，以下命令将禁用远程登录，同时保持一些网络服务（例如Solaris 安全Shell）处于启
# svcadm disable network/ftp:default
# svcadm disable network/login:rlogin
# svcadm disable network/telnet:default
# svcs | grep network
online Aug_02 svc:/network/loopback:default
online Aug_09 svc:/network/ssh:default
在每个系统上，在两个系统之间添加一对SA。
请选择以下选项之一。
 将IKE 配置为管理SA的密钥。请使用第497 页中的“配置IKE（任务列表）”中的过程
之一来为VPN 配置IKE。
 如果您有充分的理由来手动管理密钥，请参见第474 页中的“如何手动创建IPsec 安全
在每个系统上，添加IPsec 策略。
编辑/etc/inet/ipsecinit.conf 文件来为VPN 添加IPsec 策略。
a. 例如，在enigma 系统上，将以下项键入到ipsecinit.conf 文件中：
# IPv6 Neighbor Discovery messages bypass IPsec.
{ulp ipv6-icmp type 133-137 dir both} pass {}
# LAN traffic can bypass IPsec.
{laddr ::aaaa:1116 dir both} bypass {}
# WAN traffic uses ESP with 3DES and MD5.
{} ipsec {encr_algs 3des encr_auth_algs md5}
470 系统管理指南：IP 服务&# 年8 月
b. 在partym 系统上，向ipsecinit.conf 文件键入以下项：
# IPv6 Neighbor Discovery messages bypass IPsec.
{ulp ipv6-icmp type 133-137 dir both} pass {}
# LAN traffic can bypass IPsec.
{laddr ::eeee:1113 dir both} bypass {}
# WAN traffic uses ESP with 3DES and MD5.
{} ipsec {encr_algs 3des encr_auth_algs md5}
在每个系统上，配置安全通道ip6.tun0。
a. 例如，在enigma 系统上，键入以下命令：
# ifconfig ip6.tun0 inet6 plumb
# ifconfig ip6.tun0 inet6 ::aaaa:33::eeee:1113 \
tsrc 2001::aaaa: \
tdst 2001::eeee: \
encr_algs 3des encr_auth_algs md5
# ifconfig ip6.tun0 inet6 router up
b. 在partym 系统上键入以下命令：
# ifconfig ip6.tun0 inet6 plumb
# ifconfig ip6.tun0 inet6 ::eeee:66::aaaa:1116 \
tsrc 2001::eeee: \
tdst 2001::aaaa: \
第20 章• 配置IPsec（任务） 471
encr_algs 3des encr_auth_algs md5
# ifconfig ip6.tun0 inet6 router up
在每个系统上，打开hme1 接口上的IP 转发功能。
# ifconfig hme1 router
在每个系统上，确保路由协议不在内联网内通告缺省的路由。
# ifconfig hme0 private
手动添加通过hme0 实现的缺省路由。
a. 例如，在enigma 系统上，添加以下路由：
# route add -inet6 default 2001::aaaa:0:4
b. 在partym 系统上，添加以下路由：
# route add -inet6 default 2001::eeee:0:1
通过向/etc/hostname6.ip6.tun0 文件添加项，确保VPN 在重新引导系统之后启动。
该项复制在步骤7 中传送到ifconfig 命令的参数。
a. 例如，在enigma 系统上，向hostname6.ip6.tun0 文件添加以下项：
::aaaa:33::eeee:1113 \
tsrc 2001::aaaa: \
tdst 2001::eeee: \
encr_algs 3des encr_auth_algs md5 router up
b. 在partym 系统上，向hostname6.ip6.tun0 文件添加以下项：
::eeee:66::aaaa:1116 \
tsrc 2001::eeee: \
tdst 2001::aaaa: \
encr_algs 3des encr_auth_algs md5 router up
472 系统管理指南：IP 服务&# 年8 月
在每个系统上，将接口文件配置为将正确的参数传送到路由选择守护进程。
a. 在enigma 系统上，修改/etc/hostname6.interface 文件。
# cat enigma hostname6.hme0
::aaaa:1116 inet6 private
# cat enigma hostname6.hme1
2001::aaaa: inet6 router
b. 在partym 系统上，修改/etc/hostname6.interface 文件。
# cat partym hostname6.hme0
::eeee:1113 inet6 private
# cat partym hostname6.hme1
2001::eeee: inet6 router
在每个系统上，运行路由协议。
# routeadm -e ipv6-routing
# routeadm -u

如何在Solaris 系统上生成随机数
如果您手动输入密钥，则加密材料应该是随机的。加密材料的格式为十六进制。
如果您的站点上有随机数生成器，请使用此生成器。否则，您可以使用带有/dev/random
Solaris 设备的od 命令，其中所述设备作为输入设备。有关更多信息，请参见od(1) 手册页。
生成十六进制格式的随机数。
% od -x|-X -A n file | head -n
-x 显示十六进制格式的八进制转储。十六进制格式对加密材料有用。十六进制以
4 个字符的块显示。
-X 显示十六进制格式的八进制转储。十六进制以8 个字符的块显示。
-A n 从显示中删除输入偏移基址。
file 作为随机数的源。
head -n 将显示限制在输出的前n 行中。
第20 章• 配置IPsec（任务） 473
合并输出以创建适当长度的密钥。
删除一行中数字之间的空格来创建32 字符的密钥。一个32 字符的密钥为128 位。对于安全
参数索引(security parameter index, SPI)，您应该使用8 字符的密钥。密钥应该使用0x 前缀。
生成IPsec 的加密材料
以下示例显示两行八个十六进制字符为一组的密钥。
% od -X -A n /dev/random | head -2
d54de0352 0faf93bd 24fd6cad
8ecc5 20db0b0c c83f5a4b
通过合并第一行的四个数字，您可以创建一个32 字符的密钥。以0x 开头的8 字符数提供了
合适的SPI 值，如0xf3447465。
以下示例显示两行四个十六进制字符为一组的密钥。
% od -x -A n /dev/random | head -2
34ce 56b2 8b1b e9 80b0 c673
df68 12f4 905a db3d ef27
通过合并第一行的八个数字，您可以创建一个32 字符的密钥。

如何手动创建IPsec 安全关联
注– 应从全局区域中为非全局区域手动管理加密材料。不能使用IKE 为非全局区域管理密
以下过程提供了第456 页中的“如何使用IPsec 保证两个系统之间的通信安全”过程的加密
为SA 生成加密材料。
您需要将三个十六进制随机数用于外发通信，三个十六进制随机数用于传入通信。因此，
一个系统需要生成以下数字：
 两个作为spi 关键字值的十六进制随机数。一个数字用于外发通信，一个数字用于传入
通信。每个数字的长度最大可以为八个字符。
 两个用于AH的MD5 算法的十六进制随机数。每个数字的长度必须为32 个字符。一个
数字用于dst enigma，一个数字用于dst partym。
474 系统管理指南：IP 服务&# 年8 月
 两个用于ESP 的3DES 算法的十六进制随机数。对于一个192 位的密钥，每个数字的长
度必须为48 字符。一个数字用于dst enigma，一个数字用于dst partym。
如果您的站点上有随机数生成器，请使用此生成器。也可以使用od 命令。有关过程，请参
见第473 页中的“如何在Solaris 系统上生成随机数”。
在其中一个系统的系统控制台上，承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建角色并将其指定给用户的信息，请参
见《System Administration Guide: Basic Administration》中的第2 章，“WorkingWith the
Solaris Management Console (Tasks)”。
注– 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安
全性也会降至远程登录会话的安全性。
启用ipseckey 命令模式：
# ipseckey
& 提示符指明您处于ipseckey 命令模式中。
如果要替换现有的SA，请刷新当前的SA。
要阻止入侵者有时间破坏您的SA，需要替换加密材料。
注– 您必须在通信系统上协调密钥替换。当您在一个系统上替换SA时，也必须在远程系统
上替换此SA。
要创建SA，请键入以下命令。
& add protocol spi random-hex-string \
src addr dst addr2 \
protocol-prefix_alg protocol-algorithm \
protocol-prefixkey random-hex-string-of-algorithm-specified-length
也可使用此语法来替换已刷新的SA。
指定esp 或ah。
第20 章• 配置IPsec（任务） 475
random-hex-string
以十六进制格式指定最多包含八个字符的随机数。字符以0x 开头。如果输入多于安全参
数索引(security parameter index, SPI) 所能接受的数字，系统会忽略多余的数字。如果输
入少于SPI 可接受的数字，系统对您的输入进行填充。
指定一个系统的IP 地址。
指定addr 的同级系统的IP 地址。
protocol-prefix
指定encr 或auth 中的一个。encr 前缀与esp 协议一起使用。auth 前缀与ah 协议一起使
用，用于验证esp 协议。
protocol-algorithm
为ESP 或AH指定算法。每种算法都需要具有特定长度的密钥。
验证算法包括MD5 和SHA。加密算法包括3DES 和AES。
random-hex-string-of-algorithm-specified-length
指定具有算法所要求的长度的随机十六进制数。例如，MD5 算法要求其128 位密钥使用
32 个字符的字符串。3DES 算法要求其192 位密钥使用48 个字符的字符串。
a. 例如，在enigma 系统上，保护外发的包。
使用在步骤1 中生成的随机数。
对于Solaris 10 1/06：
& add esp spi 0x8bcd1407 \
src 192.168.116.16 dst 192.168.13.213 \
encr_alg 3des \
auth_alg md5 \
encrkey d41fba8e7a80d343cc5aae9e2a7f05f13730d \
authkey e896f8df7f78d6cab36c94ccf293f031
注– 同级系统必须使用相同的加密材料。
b. 仍在enigma 系统上，使用ipseckey 命令模式保护传入的包。
键入以下命令来保护包：
& add esp spi 0x122a43e4 \
476 系统管理指南：IP 服务&# 年8 月
src 192.168.13.213 dst 192.168.116.16 \
encr_alg 3des \
auth_alg md5 \
encrkey dd325c5c137fbb3a1747baae4358e \
authkey ad9ced7ad5f255c9a8605fba5eb4d2fd
注– 对于每个SA，密钥和SPI 可以不同。您应该为每个SA指定不同的密钥和不同的
要退出ipseckey 命令模式，请按Ctrl-D 组合键或键入quit。
要确保IPsec 可以在重新引导系统时使用加密材料，请将加密材料添加到
/etc/inet/secret/ipseckeys 文件中。
/etc/inet/secret/ipseckeys 文件中的行与命令行语言相同。
a. 例如，enigma 系统上的/etc/inet/secret/ipseckeys 文件的显示与以下内容类似：
# ipseckeys - This file takes the file format documented in
# ipseckey(1m).
# Note that naming services might not be available when this file
# loads, just like ipsecinit.conf.
# for outbound packets on enigma
add esp spi 0x8bcd1407 \
src 192.168.116.16 dst 192.168.13.213 \
encr_alg 3des \
auth_alg md5 \
encrkey d41fba8e7a80d343cc5aae9e2a7f05f13730d \
authkey e896f8df7f78d6cab36c94ccf293f031
第20 章• 配置IPsec（任务） 477
# for inbound packets
add esp spi 0x122a43e4 \
src 192.168.13.213 dst 192.168.116.16 \
encr_alg 3des \
auth_alg md5 \
encrkey dd325c5c137fbb3a1747baae4358e \
authkey ad9ced7ad5f255c9a8605fba5eb4d2fd
b. 使用只读权限保护文件。
# chmod 400 /etc/inet/secret/ipseckeys
在partym 系统上重复步骤2 至步骤7。
使用enigma 上使用的相同加密材料。
两个系统上的加密材料必须完全相同。如以下示例所示，只有ipseckeys 文件中的注释不
同。注释不同是因为dst enigma 在enigma 系统上为传入，在partym 系统上为外发。
# partym ipseckeys file
# for inbound packets
add esp spi 0x8bcd1407 \
src 192.168.116.16 dst 192.168.13.213 \
encr_alg 3des \
auth_alg md5 \
encrkey d41fba8e7a80d343cc5aae9e2a7f05f13730d \
authkey e896f8df7f78d6cab36c94ccf293f031
# for outbound packets
add esp spi 0x122a43e4 \
478 系统管理指南：IP 服务&# 年8 月
src 192.168.13.213 dst 192.168.116.16 \
encr_alg 3des \
auth_alg md5 \
encrkey dd325c5c137fbb3a1747baae4358e \
authkey ad9ced7ad5f255c9a8605fba5eb4d2fd

如何检验包是否受IPsec 保护
要检验包是否受到保护，请使用snoop 命令来测试连接。以下前缀可以在snoop 输出中显示
 AH: 此前缀指明AH正在保护头。如果您使用auth_alg 保护通信，则会看到AH:。
 ESP: 此前缀指明正在发送加密数据。如果您使用encr_auth_alg 或encr_alg 保护通信，
则您会看到ESP:。
您必须是超级用户或承担等效角色才能创建snoop 输出。必须可以同时访问两个系统才能测
在一个系统（如partym）上，成为超级用户。
% suPassword: Type root password
在partym 系统上，准备从远程系统搜寻包。
在partym 上的一个终端窗口中，从enigma 系统搜寻包。
# snoop -venigma
Using device /dev/hme (promiscuous mode)
从远程系统发送包。
在另一个终端窗口中，远程登录到enigma 系统。提供您的口令。然后，成为超级用户并将
包从enigma 系统发送到partym 系统。包应该由snoop -v enigma 命令捕获。
% rlogin enigma
Password: Type your password
Password: Type root password
# ping partym
第20 章• 配置IPsec（任务） 479
检查snoop 输出。
在partym 系统上，您应该看到在初始IP 头信息之后显示AH 和ESP 信息的输出。类似以下内
容的AH 和ESP 信息指明包正在受到保护：
IP: Time to live = 64 seconds/hops
IP: Protocol = 51 (AH)
IP: Header checksum = 4e0e
IP: Source address = 192.168.116.16, enigma
IP: Destination address = 192.168.13.213, partym
IP: No options
AH: ----- Authentication Header -----
AH: Next header = 50 (ESP)
AH: AH length = 4 (24 bytes)
AH: SPI = 0xb3a8d714
AH: Replay = 52
AH: ICV = cef5a7d77c76eaa
ESP: ----- Encapsulating Security Payload -----
ESP: SPI = 0xd4f40a61
ESP: Replay = 52
ESP: ....ENCRYPTED DATA....
ETHER: ----- Ether Header -----
480 系统管理指南：IP 服务&# 年8 月

如何创建配置网络安全的角色
如果您在使用基于角色的访问控制(role-based access control, RBAC) 来管理系统，请使用此
过程来提供网络管理或网络安全角色。
在本地prof_attr 数据库中查找网络权限配置文件。
% cd /etc/security
% grep Network prof_attr
Network Management:::Manage the host and network configuration ...
Network Security:::Manage network and host security ...
System Administrator:::...Network Management...
网络管理配置文件是系统管理员配置文件的补充配置文件。如果您将系统管理员权限配置
文件纳入角色，则此角色可以执行网络管理配置文件中的命令。
确定网络管理权限配置文件中具有的命令。
% grep &Network Management& /etc/security/exec_attr
Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config
Network Management:suser:cmd:::/usr/sbin/snoop:uid=0
使用权限(privs=sys_net_config) 可以运行solaris 策略命令。以超级用户(uid=0) 身份可
以运行suser 策略命令。
确定网络安全权限配置文件中具有的命令。
% grep &Network Security& /etc/security/exec_attr
Network Security:solaris:cmd:::/usr/sbin/ipsecconf:privs=sys_net_config
Network Security:solaris:cmd:::/usr/sbin/ipseckey:privs=sys_net_config
第20 章• 配置IPsec（任务） 481
创建拥有网络安全和网络管理权限配置文件的角色。
同时拥有两个配置文件的角色可以使用相应的权限执行ifconfig、snoop、ipsecconf 和
ipseckey 命令，以及许多其他命令。
要创建此角色，将此角色指定给用户并使用名称服务注册更改，请参见《System
Administration Guide: Security Services》中的“Configuring RBAC (Task Map)”。
482 系统管理指南：IP 服务&# 年8 月
IP 安全体系结构（参考）
本章包含以下参考信息：
 第483 页中的“ipsecconf 命令”
 第484 页中的“ipsecinit.conf 文件”
 第486 页中的“ipsecalgs 命令”
 第486 页中的“IPsec 的安全关联数据库”
 第486 页中的“用于在IPsec 中生成密钥的实用程序”
 第487 页中的“其他实用程序的IPsec 扩展”
有关如何在网络中实现IPsec 的说明，请参见第20 章。有关IPsec 的概述，请参见第19 章。
ipsecconf 命令
您可以使用ipsecconf 命令配置主机的IPsec 策略。运行此命令配置策略时，系统便会创建
一个名为ipsecpolicy.conf 的临时文件。此文件保留通过ipsecconf 命令在内核设置的
IPsec 策略项。系统使用内核中的IPsec 策略项来检查所有外发和传入IP 数据报的策略。转
发的数据报不受使用此命令添加的策略检查的约束。ipsecconf 命令也可配置安全策略数据
库(security policy database, SPD)。
 有关如何保护转发的包的信息，请参见ifconfig(1M) 和tun(7M) 手册页。
 有关IPsec 策略选项，请参见ipsecconf(1M) 手册页。
 有关如何使用ipsecconf 命令保护系统间通信的说明，请参见第497 页中的“配置IKE
（任务列表）”。
您必须成为超级用户或承担等效角色才能调用ipsecconf 命令。此命令接受保护双向通信的
项，同时也接受仅保护单向通信的项。
具有本地地址和远程地址格式的策略项可以借助单个策略项保护双向通信。例如，如果没
有为指定的主机指定方向，则包含模式laddr host1 和raddr host2 的项会保护双向通信。
因此，对于每台主机，只需一个策略项。
21 第2 1 章
具有源地址到目标地址格式的策略项仅保护单向通信。例如，模式为saddr host1 daddr
host2 的策略项只保护传入通信或外发通信，不同时保护这两个方向的通信。因此，要保护
双向通信，需要使用ipsecconf 命令调用另一个项，即saddr host2 daddr host1。
ipsecpolicy.conf 文件将在系统关闭时删除。要确保IPsec 策略在引导计算机时处于活动状
态，可以创建一个IPsec 策略文件/etc/inet/ipsecinit.conf。此文件在网络服务启动时读
取。有关如何创建IPsec 策略文件的说明，请参见第455 页中的“配置IPsec（任务列表）
ipsecinit.conf 文件
要在启动Solaris 操作系统时调用IPsec 安全策略，请创建一个配置文件以通过特定的IPsec
策略项来初始化IPsec。您应该将文件命名为/etc/inet/ipsecinit.conf。有关策略项及其
格式的详细信息，请参见ipsecconf(1M) 手册页。配置策略之后，您可以使用ipsecconf 命
令来查看或修改现有配置。
ipsecinit.conf 文件样例
Solaris 软件包括一个IPsec 策略文件样例ipsecinit.sample 。您可以使用此文件作为模板来
创建自己的ipsecinit.conf 文件。ipsecinit.sample 文件包含以下示例：
# For example,
# {rport 23} ipsec {encr_algs des encr_auth_algs md5}
# will protect the telnet traffic originating from the host with ESP using
# DES and MD5. Also:
# {raddr 10.5.5.0/24} ipsec {auth_algs any}
# will protect traffic to or from the 10.5.5.0 subnet with AH
# using any available algorithm.
ipsecinit.conf 文件
484 系统管理指南：IP 服务&# 年8 月
# To do basic filtering, a drop rule may be used. For example:
# {lport 23 dir in} drop {}
# {lport 23 dir out} drop {}
# will disallow any remote system from telnetting in.
# If you are using IPv6, it may be useful to bypass neighbor discovery
# to allow in.iked to work properly with on-link neighbors. To do that,
# add the following lines:
# {ulp ipv6-icmp type 133-137 dir both } pass { }
# This will allow neighbor discovery to work normally.
ipsecinit.conf 和ipsecconf 的安全注意事项
在网络中传输ipsecinit.conf 文件副本时请格外小心。入侵者可能会在系统读取网络挂载
的文件时也读取此文件。例如，在从NFS 挂载的文件系统中访问或复制
/etc/inet/ipsecinit.conf 文件时，入侵者可能会更改此文件中包含的策略。
请确保在启动任何通信之前已设置了IPsec 策略，因为新添加的策略项可能会影响现有连
接。同样，不要在通信期间更改策略。
特别是，不能为已针对其发出connect() 或accept() 函数调用的SCTP、TCP 或UDP套接字
更改IPsec 策略。其策略不能更改的套接字称为锁定的套接字。新策略项不保护已锁定的套
接字。有关更多信息，请参见connect(3SOCKET) 和accept(3SOCKET) 手册页。
保护您的名称系统。如果发生以下两种情况，则您的主机名不再值得信任：
 您的源地址是可以在网络中查找到的主机。
ipsecinit.conf 文件
以上文章转自于 ：
本文来自ChinaUnix博客，如果查看原文请点：
我要用我的双手，为大秦澡堂，搓出一个大大的市场!!!
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处